konzepte und umsetzungen nfc-basierter zahlungssysteme - A-SIT

Transcription

konzepte und umsetzungen nfc-basierter zahlungssysteme - A-SIT
Zentrum für sichere Informationstechnologie – Austria
Secure Information Technology Center – Austria
A-1030 Wien, Seidlgasse 22 / 9
Tel.: (+43 1) 503 19 63–0
Fax: (+43 1) 503 19 63–66
DVR: 1035461
http://www.a-sit.at
E-Mail: office@a-sit.at
ZVR: 948166612
A-8010 Graz, Inffeldgasse 16a
Tel.: (+43 316) 873-5514
Fax: (+43 316) 873-5520
UID: ATU60778947
KONZEPTE UND UMSETZUNGEN
NFC-BASIERTER ZAHLUNGSSYSTEME
VERSION 1.1 – 03.08.2012
THOMAS ZEFFERER – THOMAS.ZEFFERER@A-SIT.AT
Zusammenfassung: Die wachsende Verbreitung von Near Field Communication (NFC), sowie
deren zunehmende Integration in Smartphones lassen diese Technologie für eine Verwendung im
Rahmen mobiler Zahlungssysteme interessant erscheinen. Tatsächlich finden mobile
Zahlungssysteme, die auf NFC und ähnlichen kontaktlosen Übertragungstechnologien beruhen,
beispielsweise in Japan und Südkorea bereits seit einigen Jahren breite Anwendung. Seit der
landesweiten Einführung von Google Wallet im September 2011 ist auch in den USA ein
entsprechender Dienst verfügbar. Auch in Europa wurden ähnliche NFC-basierte
Zahlungssysteme für Mobiltelefone bereits gestartet oder zumindest angekündigt.
Prinzipiell erlaubt die NFC-Technologie die Realisierung unterschiedlicher Modelle mobiler
Zahlungssysteme. Beispielsweise kann das Secure Element – ein spezielles Hardwaremodul, das
zur sicheren Speicherung sicherheitskritischer Daten verwendet werden kann und im Rahmen von
smartphonebasierten Zahlungssystemen eine zentrale Rolle spielt – auf Smartphones auf
unterschiedliche Art und Weise implementiert werden. Dementsprechend unterscheiden sich
aktuelle Systeme je nach Dienstanbieter und Land, in dem diese angeboten werden, zum Teil
beträchtlich. Um einen generellen Überblick über bestehende und geplante NFC-basierte
Zahlungssysteme bzw. über die diesen Systemen zugrundeliegenden Konzepte und Modelle zu
erlangen, wurden im Rahmen dieser Studie öffentlich zugängliche Informationen zu verschiedenen
Lösungen gesammelt und aufbereitet.
Basierend auf den gesammelten Informationen wurden in weiterer Folge Merkmale definiert,
anhand derer NFC-basierte Zahlungssysteme unterschieden und klassifiziert werden können. Als
Unterscheidungskriterien ergaben sich dabei die Umsetzung des Secure Elements, die Art der
Transaktionsautorisierung, die Art der unterstützten Transaktion, sowie die in Entwicklung und
Betrieb involvierten Stakeholder.
Eine anschließende Klassifizierung verschiedener Zahlungssysteme zeigte, dass die meisten
smartphonebasierten Systeme die SIM-Karte als Secure Element verwenden. Eine
Transaktionsautorisierung über Eingabe einer PIN ist zumeist nur für größere Beträge vorgesehen,
kleine Beträge können in der Regel ohne zusätzliche Autorisierung durchgeführt werden. Ein
Großteil
der
analysierten
Zahlungssysteme
unterstützt
die
Durchführung
von
Kreditkartentransaktionen bzw. Prepaid-Zahlungen, wenige Lösungen unterstützen auch DebitTransaktionen. Wie erwartet sind vor allem Vertreter des Finanzsektors stark an der Einführung
mobiler Zahlungssysteme interessiert. Entsprechende Initiativen gehen vereinzelt jedoch auch von
Mobilfunkbetreibern aus, die in einer Beteiligung an mobilen Zahlungssystemen ein potentielles
neues Geschäftsfeld erkennen. Die Zukunft wird zeigen, ob sich diese Erwartungen erfüllen und
NFC-basierte mobile Zahlungssysteme die erhoffte Akzeptanz bei Kundinnen und Kunden
erreichen können.
Bankverbindung: BAWAG P.S.K. Konto Nr. 01810-904-220, BLZ 14000
Inhaltsverzeichnis
Inhaltsverzeichnis
2
1.
Einleitung
3
2.
Technische Grundlagen
4
2.1.
Near Field Communication
4
2.2.
Secure Elements
6
2.3.
NFC und Secure Elements in Smartphones
7
3.
4.
Konkrete Umsetzungen und Initiativen
9
3.1.
MasterCard PayPass
9
3.2.
Visa PayWave
10
3.3.
Google Wallet
10
3.4.
ISIS
12
3.5.
Paybox NFC
12
3.6.
Touch2Pay
13
3.7.
MTS Money NFC
14
3.8.
WyWallet
14
3.9.
Bezahlen von Park-Tickets
14
3.10.
In2Pay® iCaisse
15
3.11.
Moneto
15
3.12.
Cep-T Cüzdan
15
3.13.
Visa PayWave bei den Olympischen Spielen 2012
16
3.14.
girogo
17
3.15.
PagSeguro P2P NFC-Payment
17
3.16.
Mobile-Payment Lösung von CIBC und Rogers Communications
17
3.17.
CHARGE Anywhere® Mobile Payment App
18
3.18.
Quick Tap
18
3.19.
BOKU Accounts
19
3.20.
NFC-basierte Zahlungssysteme in Japan
19
3.21.
PayPal
20
3.22.
CardMobile
20
3.23.
T-Money
21
Analyse
22
4.1.
Kriterien
22
4.1.1.
Umsetzung des Secure Elements
22
4.1.2.
Art der Transaktionsautorisierung
22
4.1.3.
Art der Transaktion
23
4.1.4.
Stakeholder
23
4.2.
5.
Klassifizierung
Ausblick
Referenzen
Studie_NFC_Payments_v1.1.docx
23
25
27
Seite: 2 von 27
1. Einleitung
Die laufenden Neuentwicklungen im Bereich der Informations- und Kommunikationstechnologie
erlauben die Umsetzung immer neuer Möglichkeiten, um Dienstleistungen in Anspruch zu nehmen
bzw. Waren zu erwerben. Der Finanzsektor ist gefordert, auf diese Entwicklungen entsprechend zu
reagieren um Kundinnen und Kunden zeitgemäße und zweckmäßige Zahlungssysteme
anzubieten. Tatsächlich steht Kundinnen und Kunden heutzutage bereits eine breite Auswahl an
Möglichkeiten zur Verfügung, um finanzielle Transaktionen abzuwickeln. Diese reichen von
Kreditkartenzahlungen, über Debit-Transaktionen, bis hin zu elektronischen Geldbörsen.
Vor allem letztere hatten ursprünglich zum Ziel, sich als gleichwertiger Ersatz für
Bargeldzahlungen zu etablieren. In Österreich bietet beispielsweise Paylife 1 mit dem Produkt
Quick 2 eine elektronische Geldbörse in Form einer Chipkarte an. Dabei handelt es sich um ein
Prepaid-Verfahren, das es Kundinnen und Kunden ermöglicht, gewisse Beträge auf die Chipkarte
zu buchen und mit dieser im Anschluss an entsprechenden Terminals zu bezahlen. Eine
zusätzliche Transaktionsautorisierung über PIN oder Unterschrift ist dabei nicht nötig.
Überraschenderweise konnten sich elektronische Geldbörsen wie Quick bis dato jedoch nicht
entscheidend durchsetzen. Ein Großteil aller Bezahlvorgänge wird – vor allem wenn es sich um
kleine Beträge handelt – an Point-of-Sales (POS) nach wie vor über Bargeld abgewickelt.
Um die Verbreitung bargeldloser Zahlungen voranzutreiben, setzt der Finanzsektor derzeit vor
allem auf mobile Technologien. Vor allem Smartphones scheinen in diesem Zusammenhang
geeignet zu sein, um als Token für die Bezahlung kleiner Beträge zu fungieren. Die Verwendung
von Mobiletelefonen im Allgemeinen und Smartphones im Speziellen zur Umsetzung von
Zahlungssystemen ist tatsächlich keine neue Idee. Derartige Ansätze existieren bereits seit einiger
Zeit und beruhen meist auf der Verwendung von QR-Codes oder SMS-Technologie. Mit der in
einigen aktuellen Smartphones bereits integrierten Technologie Near Field Communication (NFC)
scheint nun jedoch auch ein passendes Werkzeug gefunden worden zu sein, um
smartphonebasierte
Zahlungssysteme
entsprechend
gegebenen
Anforderungen
an
Benutzerfreundlichkeit und Sicherheit zu designen.
NFC entstand aus der von Sony 3 und NXP Semiconductors 4 entwickelten RFID-Technologie und
beschreibt ein Verfahren zum einfachen kontaktlosen Austausch von Daten über relativ kurze
Distanzen. Im Gegensatz zu vergleichbaren Übertragungstechnologien, die auf heutigen
Smartphones ebenfalls verfügbar sind, verfügen die in Smartphones integrierten NFC-Systeme in
der Regel über ein sogenanntes Secure Element – ein speziell abgesichertes Hardwaremodul –
über das ein adäquates Sicherheitsniveau gewährleistet werden kann. Die NFC-Technologie findet
sich mittlerweile in immer mehr aktuellen Smartphones wieder. Damit steigt auch der Anteil jener
Benutzerinnen und Benutzer, die diese Technologie ohne Anschaffungsaufwand für zusätzliche
Hardware für die Durchführung von Bezahlungen nutzen können. Die Bereitschaft einzelner
Länder für die Einführung mobiler und NFC-basierter Zahlungssysteme wurde kürzlich von
MasterCard 5 erhoben und auf einer Webseite 6 graphisch dargestellt. Singapur, Kanada, die USA,
Kenia, Südkorea und Japan werden von MasterCard dabei auf den vordersten Plätzen gereiht.
In Japan und Südkorea finden NFC bzw. verwandte kontaktlose Übertragungstechnologien im
Bereich mobiler Zahlungssysteme bereits seit einigen Jahren relativ breite Anwendung. In diesen
Ländern entstanden diese Lösungen aus kontaktlosen und wiederaufladbaren Eisenbahn-Tickets,
die aufgrund ihrer wachsenden Popularität seit einigen Jahren auch in diversen Geschäften als
Prepaid-Karte für die Bezahlung kleiner Beträge verwendet werden können. Seit einiger Zeit kann
1
http://www.paylife.at/
2
http://www.quick.at/
3
http://www.sony.com/
4
http://www.nxp.com/
5
http://www.mastercard.com
6
http://mobilereadiness.mastercard.com/the-index/
Studie_NFC_Payments_v1.1.docx
Seite: 3 von 27
die Funktionalität dieser Karte auch auf Mobiltelefone portiert und diese somit direkt zur Bezahlung
kleiner Beträge verwendet werden.
Viele andere Länder hinken Japan und Südkorea in Bezug auf NFC-basierte mobile
Bezahlsysteme etwas hinterher. In den USA erregte Google im Jahr 2011 mit der Vorstellung und
Einführung von Google Wallet – einer elektronischen Geldbörse für Android Smartphones – für
Aufsehen. Die in Google Wallet gesteckten Erwartungen konnten sich bisher jedoch noch nicht
erfüllen. Nichtsdestotrotz wurde in den vergangen Monaten eine Vielzahl weiterer NFC-basierter
Zahlungssysteme in verschiedenen Ländern – so auch in Österreich – angekündigt, vorgestellt und
gestartet. Eine auf der Web-Seite NFC Times veröffentlichte Liste aktueller NFC-basierter
Projekte 7 veranschaulicht sehr gut den aktuellen Hype um diese Technologie.
Ziel dieser Studie ist es, verschiedene bereits verfügbare und angekündigte mobile NFC-basierte
Zahlungssysteme vorzustellen. Dadurch soll ein Überblick über aktuelle Entwicklungen auf diesem
Sektor erarbeitet, sowie eine Analyse und ein Vergleich unterschiedlicher Lösungsansätze
ermöglicht werden. Im Abschnitt 2 werden zunächst einige technische Grundlagen erklärt und
zentrale Technologien wie NFC und Secure Elements, sowie deren Integration in Smartphones
diskutiert. Eine Auswahl von Konzepten und konkreten Umsetzungen mobiler NFC-basierter
Zahlungssysteme wird in Abschnitt 3 vorgestellt. Zentrale Erkenntnisse, die sich aus der Analyse
bestehender Lösungen ergeben, werden anschließend in Abschnitt 4 zusammengefasst.
Abschließend gibt Abschnitt 5 einen Ausblick auf mögliche zukünftige Entwicklungen im Bereich
mobiler NFC-basierter Zahlungssysteme.
2. Technische Grundlagen
Near Field Communication (NFC) und Secure Elements sind zentrale Technologien, die bei
heutigen mobilen Bezahlsystemen häufig zur Anwendung kommen. Mobiltelefone im Allgemeinen
und Smartphones im Speziellen bieten eine passende Plattform, über die diese beiden
Technologien zusammengeführt und einfach verwendet werden können. In diesem Abschnitt
werden einige für mobile Zahlungssysteme relevante Grundlagen zu NFC und Secure Elements
erläutert, sowie deren Integration in mobile Plattformen diskutiert.
2.1.
Near Field Communication
Near Field Communication (NFC) ist eine jener Kommunikationstechnologien, der im Bereich
mobiler Bezahlsysteme derzeit die größte Bedeutung beigemessen wird. Bankinstitute,
Mobilfunkbetreiber und Hersteller von Mobiltelefonen versprechen sich von der NFC-Technologie
kundenfreundliche und sichere Möglichkeiten der Abwicklung finanzieller Transaktionen. Bevor im
folgenden Abschnitt einige konkrete NFC-basierte Lösungen näher vorgestellt werden, soll
zunächst die NFC-Technologie selbst näher beleuchtet werden. Eine ausführlichere Beschreibung
dieser Technologie und derer Integration in moderne Mobiltelefone und Smartphones findet sich
auch in [3].
Maßgeblich in die Entwicklung der NFC-Technologie involviert waren die beiden Unternehmen
Sony und NXP Semiconductors. NFC ist seit dem Jahr 2002 verfügbar und findet sich in einer
zunehmenden Anzahl an Mobiltelefonen wieder. NFC kann als Weiterentwicklung der RFIDTechnologie betrachtet werden, deren Entwicklung ebenfalls hauptsächlich von Sony und NXP
Semiconductors vorangetrieben wurde.
RFID steht für Radio Frequency Identification und beschreibt eine Methode zur kontaktlosen
Übertragung von Daten. Die Besonderheit von RFID ist die Tatsache, dass einer der beiden
Kommunikationsteilnehmer über keine eigene Energieversorgung verfügen muss, sondern vom
anderen Kommunikationsteilnehmer über ein von diesem generiertes elektromagnetisches Feld
mit Energie versorgt wird. Dementsprechend unterscheidet man bei einem RFID-basierten
Kommunikationssystem zwischen aktiven und passiven Kommunikationsteilnehmern.
Der aktive Kommunikationsteilnehmer ist in der Regel ein RFID-Reader. Dieser generiert das Feld,
über welches der passive Teilnehmer mit Energie versorgt wird und über das die Kommunikation
7
http://nfctimes.com/nfc-projects/list
Studie_NFC_Payments_v1.1.docx
Seite: 4 von 27
stattfindet. Die passiven Kommunikationsteilnehmer sind in der Regel sehr einfach gehaltene
Transponder (RFID-Tags). Diese sind mit einer Antenne ausgestattet, über die die nötige Energie
vom elektromagnetischen Feld bezogen wird und über die mit der aktiven Komponente
kommuniziert wird. Die Funktionalität dieser RFID-Tags ist in der Regel sehr beschränkt. Mögliche
Anwendungsszenarien sind beispielsweise die Verwendung von RFID-Tags als Produkt-Identifier
(anstelle von Bar-Codes). Abbildung 1 zeigt einen einfachen RFID Tag mit Antenne.
Abbildung 1. Einfacher RFID-Tag mit Antenne.
Quelle: http://tcnwo.blogspot.co.at/p/rfid-chips.html
Unter dem Begriff RFID wird eine Reihe verschiedener Standards zusammengefasst. Weit
verbreitet sind aktuell die beiden proprietären Standards FeliCa (Felicity Card) von Sony, bzw.
MIFARE (ISO/IEC 14443A) von NXP Semiconductors. Bei der Entwicklung von NFC wurden diese
beiden proprietären Standards zusammengeführt. Relevante Schnittstellen und Protokolle von
NFC werden in den Standards NFCIP-1 8 (spezifiziert in ECMA-340 9 bzw. ISO/IEC 18092 10) und
NFCIP-2 11 (spezifiziert in ECMA-352 12 bzw. ISO/IEC 21481 13) beschrieben.
Der bedeutendste Unterschied zwischen RFID und NFC ist die Tatsache, dass NFC auf eine
strikte Trennung zwischen aktiver und passiver Komponente verzichtet. NFC-Geräte können in der
Regel sowohl als aktiver als auch als passiver Kommunikationsteilnehmer fungieren. Generell
unterscheidet man bei NFC zwischen drei verschiedenen Betriebsmodi:
•
Reader/Writer-Modus: In diesem Modus verhält sich das NFC-Gerät wie ein RFID-Reader
und fungiert somit als aktive Komponente der drahtlosen Kommunikation. Das NFC-Gerät
stellt das Feld zur Verfügung, über das der passive Kommunikationsteilnehmer mit Energie
versorgt wird und das zur Kommunikation verwendet wird. In diesem Modus ist das NFCGerät auch in der Lage, mit kompatiblen RFID-Tags zu kommunizieren. Anwendung findet
dieser Modus beispielsweise bei sogenannten Smart-Postern. Diese enthalten ein passives
NFC-Tag, das zum Beispiel mit einem NFC-fähigen Smartphone ausgelesen werden kann.
Die aus dem Tag ausgelesenen Daten können dann am Smartphone angezeigt, oder auch
zur Auslösung einer bestimmten Aktion verwendet werden. Weit verbreitet ist
beispielsweise das automatische Ansteuern einer im Tag des Smart-Posters definierten
Web-Seite.
•
Card-Emulation-Modus: Im Card-Emulation-Modus verhält sich das NFC-Gerät selbst wie
eine kontaktlose Chipkarte und kann somit mit entsprechenden RFID-Lesegeräten
kommunizieren. NFC-Systeme, wie sie etwa in Smartphones verbaut sind, verfügen oft
über ein eigenes Secure Element. In diesem Fall wird die emulierte Funktionalität von
diesem übernommen. Dies ist vor allem für NFC-basierte Zahlungssysteme interessant, da
8
http://www.ecma-international.org/publications/files/drafts/tc47-2008-002.pdf
9
http://www.ecma-international.org/publications/standards/Ecma-340.htm
10
http://www.iso.org/iso/catalogue_detail.htm?csnumber=38578
11
http://www.ecma-international.org/publications/files/ECMA-ST/ECMA-352.pdf
12
http://www.ecma-international.org/publications/standards/Ecma-352.htm
13
http://www.iso.org/iso/catalogue_detail.htm?csnumber=40261
Studie_NFC_Payments_v1.1.docx
Seite: 5 von 27
sicherheitskritische Daten wie etwas Kreditkarteninformationen sicher in der geschützten
Umgebung des Secure Elements hinterlegt werden können. Wird das NFC-Gerät im CardEmulation-Modus betrieben, wird die NFC-Funktionalität ausschließlich vom NFC-Chipsatz
gesteuert. Theoretisch kann also auf die NFC-Funktionalität eines Smartphones auch
zugegriffen werden, wenn dieses ausgeschaltet ist. Wird der NFC-Chipsatz zudem passiv
vom bereitgestellten RFID-Feld versorgt, kann die NFC-Funktionalität eines Smartphones
im Card-Emulation-Modus sogar bei fehlender eigener Energieversorgung verwendet
werden. Beispielsweise können somit sicher im Secure Element gespeicherte Tickets im
Rahmen von Ticketing-Anwendungen (z.B. im öffentlichen Verkehr) auch bei leerem Akku
des Smartphones noch ausgelesen werden.
•
Peer-to-Peer-Modus: In diesem Modus repräsentieren zwei NFC-Geräte die Endpunkte
einer NFC-basierten Kommunikation und verhalten sich dabei prinzipiell als
gleichberechtigte Kommunikationspartner. In diesem Kommunikationsmodus können die
beiden Kommunikationspartner einfach und kontaktlos Daten über die NFC-Schnittstelle
austauschen. Ein typisches Anwendungsszenario ist beispielsweise der einfache und
kontaktlose Austausch von elektronischen Visitenkarten zwischen Mobiltelefonen. Der
Peer-to-Peer-Modus unterstützt wiederum verschiedene Betriebsmodi. Im passiven
Kommunikationsmodus wird das Trägersignal zur Übermittlung der Daten während der
gesamten Kommunikation vom Initiator zur Verfügung gestellt. Im aktiven
Kommunikationsmodus erzeugen hingegen beide Kommunikationsteilnehmer ihr eigenes
Trägersignal. In letzterem Kommunikationsmodus ist der Energieverbrauch gerecht auf
beide Kommunikationspartner aufgeteilt. Aktiver und passiver Kommunikationsmodus
beruhen auf unterschiedlichen Modulationsverfahren. Weitere Details zu den
verschiedenen
Kommunikationsmodi
und
den
zum
Einsatz
kommenden
Modulationsverfahren können weiterführender Literatur [4] entnommen werden.
Unabhängig vom verwendeten Modus zeichnen sich NFC-basierte Kommunikationsmethoden
durch diverse Eigenschaften aus, die diese Kommunikationsform für den Einsatz in speziellen
Anwendungsszenarien prädestinieren. Die wichtigsten Eigenschaften der NFC-basierten
Übertragungstechnologie werden im Folgenden zusammengefasst.
2.2.
•
Kurze Reichweite: NFC bietet zwar die Möglichkeit der kontaktlosen
Datenübertragung, diese ist jedoch nur für sehr kurze Distanzen einsetzbar. In der
Regel werden Übertragungsdistanzen von maximal 10 cm erreicht. Diese
Beschränkung ist durchaus gewollt und kann in beschränktem Maße
als
Sicherheitsfeature verstanden werden. Damit wird ein unbemerktes Auslesen von
NFC-Geräten erschwert.
•
Geringe
Übertragungsraten:
Im
Vergleich
zu
anderen
kontaktlosen
Übertragungstechnologien ergeben sich für NFC relative geringe Übertragungsraten.
Maximal können über NFC 424 kbit/s übertragen werden. Für den Austausch großer
Daten ist NFC also nur bedingt geeignet.
•
Einfacher Kommunikationsaufbau: Aus Sicht von Benutzerinnen und Benutzern
gestaltet sich die Verwendung von NFC sehr einfach. Eine manuelle Konfiguration ist
in der Regel nicht nötig, eine Verbindung zwischen zwei NFC-Geräten kann sehr
einfach hergestellt werden. Hier reicht es in der Regel aus, die beiden NFC-fähigen
Geräte kurz aneinanderzuhalten.
Secure Elements
Neben NFC spielen Secure Elements (SE) für mobile Bezahlsysteme zumeist eine wichtige Rolle.
Unter einem Secure Element versteht man in der Regel ein Hardwaremodul, das in der Lage ist,
sicherheitskritische Operationen sicher auszuführen und vertrauliche Daten sicher zu speichern.
Bereits in den 1980er Jahren wurde die Idee, sicherheitskritische Operationen in einer sicheren
logischen oder physikalischen Einheit zu kapseln, populär. Erste dahingehende Ansätze wurden
unter den Begriffen Trusted Computing Base und später als Trusted Computing bzw. Trusted
Platform Module (TPM) bekannt. Mittlerweile haben Secure Elements Einzug in den Alltag
Studie_NFC_Payments_v1.1.docx
Seite: 6 von 27
gehalten. So sind beispielsweise Bankomat- und andere Chipkarten mit Secure Elements
ausgestattet, um sicherheitskritische und vertrauliche Daten geeignet zu schützen. Der Zugriff auf
die im SE gespeicherten Daten bzw. die vom SE bereitgestellte Funktionalität ist in der Regel über
eine PIN (Personal Identification Number) geschützt.
Secure Elements kommen etwa im Rahmen von Bezahlsystemen zur Anwendung, um vertrauliche
Informationen zu speichern und um Benutzerinnen und Benutzer an entsprechenden Terminals
(z.B. Bankomaten) gegenüber dem Zentralsystem zu authentifizieren. Darüber hinaus können
Secure Elements als sichere Signaturerstellungseinheit gemäß EU Signaturrichtlinie [5] fungieren
und zur Erstellung qualifizierter elektronischer Signaturen eingesetzt werden.
Im Allgemeinen zeichnen ein Secure Element folgende Eigenschaften aus:
•
Sicherer Speicher für sicherheitskritische Daten
•
Unterstützung für die Durchführung kryptographischer Operationen
•
Sichere Umgebung zur Ausführung von Programmcode
Secure Elements sind in gewisser Weise Chipkarten sehr ähnlich. Trotzdem gibt es – vor allem in
Bezug auf den typischen Lebenszyklus – einige signifikante Unterschiede zwischen Chipkarten
und Secure Elements. Der typische Lebenszyklus eines Secure Elements kann in folgende
Phasen unterteilt werden:
•
Initialisierung: Der Herausgeber des Secure Elements legt grundlegende Parameter fest
und gibt das SE an den Anwender aus. In diesem Schritt kann optional auch ein PlatformManager – d.h. ein Verwalter des SE – festgelegt werden, welcher im Zuge der
Initialisierung bereits verschiedene Applikationen am SE installieren kann.
•
Aktivierung: In diesem Schritt wird ein Platform-Manager festgelegt, falls dies während der
Initialisierung noch nicht passiert ist. Die Aktivierung des SE findet während der ersten
Verwendung statt. Dabei wird das SE für die Verwendung im jeweiligen Gerät freigegeben.
•
Verwaltungsphase: In dieser Phase ist das SE einsatzbereit und kann zur Absicherung
von Prozessen verwendet werden. Diensteanbieter können dazu beim Platform-Manager
Bereiche des SE – sogenannte Security Domains – zur eigenen Verwendung anfordern.
Jeder Diensteanbieter hat dabei ausschließlich Zugriff auf den ihm zugewiesenen Bereich
und kann in diesem sicherheitskritische Daten speichern, sowie wenn nötig
kryptographische Operationen durchführen.
•
Deaktivierung: Die Deaktivierung wird vom Platform-Manager durchgeführt und beendet
vorerst den Lebenszyklus eines SE. Nach dessen Deaktivierung kann das SE von
Diensteanbietern nicht mehr verwendet werden. Eine erneute Aktivierung des SE ist in der
Regel jedoch möglich.
Die große Flexibilität ist ein entscheidender Vorteil von Secure Elements. Deren Funktionalität
kann durch den Platform-Manager während der Verwaltungsphase relativ einfach angepasst und
damit auf die Bedürfnisse einzelner Diensteanbieter zugeschnitten werden. In der Regel haben
Dienstanbieter sogar die Möglichkeit, in der ihnen zugewiesenen Security-Domain eigene
Anwendungen – sogenannte Applets – zu installieren. Diese Applets legen die Funktionalität des
Secure Elements fest. Externe Applikationen (z.B. mobile Bezahlfunktionen) können mit diesen
Applets kommunizieren und damit auf die Funktionalität des SE zugreifen.
2.3.
NFC und Secure Elements in Smartphones
Durch die Miteinbeziehung von Smartphones ergeben sich für die Technologien NFC und Secure
Elements einige interessante Umsetzungsmöglichkeiten für mobile Bezahlsysteme. Während
Secure Elements für eine sichere Speicherung sicherheitskritischer Daten sorgen und NFC für die
einfache und kontaktlose Kommunikation verwendet werden kann, bieten Smartphones eine
geeignete Plattform, die diese beiden Technologien integriert und zusätzlich um entsprechende
Input und Output-Möglichkeiten erweitert.
Studie_NFC_Payments_v1.1.docx
Seite: 7 von 27
Host/Basisband
Controller
NFC Controller
Secure Element
Antenne
Abbildung 2.Architektur NFC-fähiger Mobiltelefone.
Die generelle Architektur NFC-fähiger Smartphones und Mobiltelefone ist in Abbildung 2
dargestellt. Der Host/Basisband-Controller repräsentiert alle Module des Mobiltelefons, die zur
Ausführung des mobilen Betriebssystems notwendig sind. Dazu gehören u.a.
Benutzerschnittstellen wie Tastatur und Bildschirm, aber auch Kommunikationsschnittstellen wie
GSM, UMTS, oder Bluetooth. Der Basisband-Controller wird auch als Application Execution
Envrionment (AEE) bezeichnet, da sämtliche Anwendungen des Mobiltelefons in diesem
ausgeführt werden. Diese Ausführungsumgebung verfügt in der Regel über keine ausreichenden
Sicherheitsmechanismen zur Ausführung sicherheitskritischer Anwendungen.
Der NFC-Controller ergänzt den Basisband-Controller und verfügt über ein analoges Frontend zur
Ansteuerung der NFC-Antenne. Darüber hinaus implementiert der NFC-Controller eine digitale
Schnittstelle, über die dieser mit dem Basisband-Controller des Mobiltelefons und mit dem Secure
Element kommuniziert. Der NFC-Controller fungiert daher im Prinzip als Modulator und
Demodulator, über den Daten über die kontaktlose NFC-Schnittstelle übertragen werden können.
Dabei unterstützt der NFC-Controller in der Regel die drei vom NFC-Standard definierten und in
Abschnitt 2.1 dieses Dokuments beschriebenen Kommunikationsmodi.
Als sichere Ausführungsumgebung (Trusted Execution Environment - TEE) kommt im Rahmen von
sicherheitskritischen NFC-Anwendungen das Secure Element zur Anwendung. Secure Elements
können auf Smartphones unterschiedlich implementiert werden. In der Regel handelt es sich bei
einem SE jedoch um ein Hardware-Modul. Denkbar wäre theoretisch auch eine SoftwareImplementierung, diese müsste jedoch auch im AEE ausgeführt werden und wäre daher nicht
gegen Angriffe geschützt. Bei Hardware-Implementierungen des SE unterscheidet man zwischen
integrierter Hardware – d.h. SEs, die fix in das Smartphone integriert sind – und austauschbarer
Hardware – d.h. Module, um die das Smartphone über vorhandene Schnittstellen (z.B. microSDSlot) erweitert wird. Austauschbare Hardware hat den Vorteil, dass diese – und damit die
Funktionalität des Secure Elements – nicht an ein spezielles Mobiltelefon gebunden ist. Bei einem
Wechsel des Mobiltelefons kann das SE also übernommen werden und muss nicht erneut
personalisiert werden. Bei integrierter Hardware kann das SE entweder im Basisband-Controller
integriert sein, oder aber als dedizierter Chip ausgeführt sein. Auch bei SEs, die über
austauschbare Hardware implementiert sind, können verschiedene Untervarianten unterschieden
werden. So kann das SE hier beispielsweise durch eine spezielle SIM-Karte oder über eine
Memory-Karte mit integriertem SE umgesetzt werden.
Unabhängig von der Art der Implementierung unterstützen Secure Elements in der Regel
verschiedene Betriebsarten. Abbildung 3 zeigt die zwei grundsätzlichen Betriebsarten und die
dabei involvierten Komponenten.
Im externen Modus emuliert das Secure Element eine kontaktlose Chipkarte und kommuniziert
direkt mit einem externen Lesegerät. Die Kommunikation läuft zwar vollständig über den NFCController, dieser fungiert jedoch lediglich als Vermittler.
Studie_NFC_Payments_v1.1.docx
Seite: 8 von 27
Smartphone
Host/Basisband
Controller
Interner Modus
NFC Controller
Secure Element
Externer Modus
Externes
Lesegerät
Abbildung 3. Mögliche Betriebsarten des Secure Elements.
Alternativ kann das Secure Element auch im internen Modus betrieben werden. In diesem Fall
fungiert der Host/Basisband-Controller als Lesegerät, das mit dem Secure Element kommuniziert.
Auch in diesem Fall emuliert das SE eine Chipkarte. Erneut fungiert der NFC-Controller lediglich
als Vermittler für die Kommunikation mit dem Secure Element. Secure Elements, die über die SIMKarte des Mobiltelefons implementiert werden, bilden hier die Ausnahme. Diese verfügen in der
Regel zusätzlich über eine direkte Anbindung zum Basisband-Controller. Eine Kommunikation
über den NFC-Controller ist in diesem Fall daher nicht nötig. Weitere Informationen zur Anbindung
des Secure Elements an andere Komponenten des Smartphones und die dabei zum Einsatz
kommenden Standards, Technologien und Protokolle werden in [1] und [4] näher diskutiert.
3. Konkrete Umsetzungen und Initiativen
Smartphones, NFC und Secure Elements repräsentieren die Basistechnologien, die für die
Umsetzung sicherer mobiler Zahlungssysteme von Relevanz sind. Diese Technologien können
jedoch unterschiedlich eingesetzt werden. Aktuell werden bereits eine Vielzahl unterschiedlicher
Ansätze für mobile Zahlungssysteme verfolgt und umgesetzt. In diesem Abschnitt sollen einige
dieser Verfahren näher vorgestellt werden.
3.1.
MasterCard PayPass
MasterCard bietet mit MasterCard PayPass 14 eine kontaktlose Alternative zu etablierten
MasterCard Produkten wie Debit-, Kredit- und Prepaidkarten an. Kundinnen und Kunden können
über spezielle kontaktlose Chipkarten an entsprechenden Terminals Zahlungen durchführen. Für
die Durchführung der Zahlung muss die kontaktlose Chipkarte in den Sende- bzw.
Empfangsbereich des Terminals gebracht werden. Eine zusätzliche Autorisierung durch PIN oder
Unterschrift ist für kleine Beträge nicht vorgesehen. Bei der Abwicklung größerer Zahlungen kann
zusätzlich eine Unterschrift oder PIN-Eingabe verlangt werden.
MasterCard PayPass beruht auf der RF-Technologie. In der kontaktlosen Karte ist eine Antenne
integriert, über die ein ebenfalls in der Karte enthaltener Chip kontaktlos mit einem Lesegerät
(Terminal) kommunizieren kann. Der Chip nutzt dabei das vom Terminal zur Verfügung gestellte
RF-Feld sowohl zur Energieversorgung als auch zur Übertragung von Daten. Aufgrund der
kontaktlosen Übertragungstechnik kann die Kundenkarte theoretisch beliebige Formen annehmen.
MasterCard unterscheidet hier explizit zwischen PayPass Card und PayPass Device, wobei
letztere beispielsweise in Form von Schlüsselanhängern mit integriertem Chip und Antenne
realisiert werden können. MasterCard erwähnt auch explizit die Möglichkeit, PayPass Devices in
Form eines Mobiltelefons zu realisieren [2]. Einige dieser Umsetzungen mobiler
14
http://www.paypass.com/
Studie_NFC_Payments_v1.1.docx
Seite: 9 von 27
Zahlungsmöglichkeiten, die auf MasterCard PayPass beruhen, werden im Folgenden noch näher
vorgestellt.
Während sich für Kundinnen und Kunden durch die Einführung der kontaktlosen Technologie
einige Veränderungen ergeben, bleibt die Transaktionsabwicklung über die Backend-Systeme
grundsätzlich gleich. Es wird lediglich über ein mitübertragenes Datenfeld angezeigt, dass die
Karte kontaktlos („tapped“) und nicht über ein Lesegerät für Magnetstreifen („swiped“) ausgelesen
wurde. Die Daten werden zusammen mit den Autorisierungsdaten, die von der Karte ausgelesen
wurden, vom Händler über den Acquirer an den Issuer übertragen, der schließlich die
Transaktionsautorisierung vornimmt. Über dieselben Kommunikationskanäle wird schließlich nach
erfolgter Transaktion das Clearing vorgenommen. Weitere Informationen zu MasterCard PayPass
finden sich in [2].
3.2.
Visa PayWave
Visa PayWave 15 ist das Pendant von Visa 16 zu MasterCard PayPass und ermöglicht Kundinnen
und Kunden ebenfalls die kontaktlose Abwicklung von Debit- und Kreditkartenzahlungen am POS.
Dabei wird eine sogenannte VSDC-Anwendung (Visa Smart Debit and Credit) auf einer DualInterface-EMV-Chipkarte eingesetzt. Die kontaktlose Kommunikation zwischen Terminal und Karte
erfolgt über den Standard ISO 14443 17.
So wie MasterCard PayPass ist auch Visa PayWave vor allem für die Bezahlung von kleinen
Beträgen am POS konzeptioniert und somit mit einem relativ geringen Transaktionslimit versehen.
Zusätzlich können Kartenausgeber jedoch einen Gesamttransaktionsbetrag konfigurieren. Wird
dieser Betrag überschritten, muss die Karteninhaberin bzw. der Karteninhaber die aktuelle
Transaktion über Eingabe einer PIN autorisieren. Darauffolgende Transaktionen können dann bis
zum konfigurierten Limit wieder kontaktlos und ohne PIN-Eingabe abgewickelt werden.
3.3.
Google Wallet
Google Wallet 18 ist eine mobile Geldbörse für Android-Smartphones und wurde von Google 19 in
Kooperation mit den Unternehmen First Data Corporation 20 als Betreiber der Backend-Systeme,
MasterCard als Kreditkartenunternehmen, Citibank 21 als Kreditkarten-Issuer, und Sprint 22 als
involvierten Mobilfunkbetreiber entwickelt und umgesetzt. Die Grundidee von Google Wallet ist es,
verschiedene Chipkarten wie Kreditkarten, Prepaid-Karten, oder auch Kundenkarten in einer
Smartphone-App virtuell zu verwalten und damit bargeldlose Bezahlvorgänge zu vereinfachen.
Sicherheitskritische Daten werden bei Google Wallet in einem Secure Element, das fix im
Smartphone verbaut und integraler Bestandteil der NFC-Schnittstelle des Geräts ist, gespeichert.
Der Zugriff auf dieses Secure Element und auf die darin hinterlegten Daten ist kryptographisch
abgesichert. Nur die First Data Corporation hat als Betreiber der Backend-Systeme den für den
Zugriff auf diese Daten nötigen Schlüssel. Der Zugriff selbst erfolgt direkt über das PayPassTerminal und die NFC-Schnittstelle des Smartphones, wodurch übermittelte Daten am BasisbandController des Smartphones nicht verfügbar sind, und somit nicht abgefangen oder mitgehört
werden können.
Derzeit unterstützt Google Wallet lediglich zwei verschiedene Karten, die für Zahlvorgänge an POS
verwendet werden können.
15
http://www.visaeurope.com/en/cardholders/visa_paywave.aspx
16
http://www.visaeurope.at/at.aspx
17
http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39693
18
http://www.google.com/wallet/
19
http://www.google.com
20
http://www.visaeurope.at/at.aspx
21
https://online.citibank.com/US/Welcome.c
22
http://www.sprint.com/index_p.html
Studie_NFC_Payments_v1.1.docx
Seite: 10 von 27
•
Von der Citibank herausgegebene MasterCard Kreditkarten können in der Google Wallet
App virtualisiert werden. Über die NFC-Schnittstelle des Android-Smartphones kann mit
dieser virtuellen Karte schließlich an entsprechend ausgerüsteten MasterCard PayPass
Terminals bezahlt werden.
•
Die Google Wallet App enthält standardmäßig eine virtuelle Prepaid-Karte. Diese kann
jederzeit über beliebige Kreditkarten aufgeladen und in weiterer Folge für Bezahlvorgänge
herangezogen werden. Auch hier erfolgt die Durchführung von Bezahlungen über
MasterCard PayPass Terminals.
In jedem Fall erfolgt die Transaktionsabwicklung über die bestehende Infrastruktur, die auch für
gewöhnliche MasterCard PayPass-Transaktionen verwendet wird. Zusätzlicher Schutz ergibt sich
im Vergleich zu herkömmlichen Master Card PayPass-Transaktionen durch eine PIN, mit der die
Smartphone-App, über die die einzelnen virtuellen Karten im Google Wallet verwaltet werden
können, geschützt ist. Diese PIN muss eingegeben werden, um die App starten zu können. Da
Transaktionen selbst nur bei gestarteter App durchgeführt werden können, ergibt sich hier laut
Google ein zusätzlicher Schutz 23.
Da mit Google Wallet im Prinzip MasterCard PayPass-Transaktionen durchgeführt werden, muss
das verwendete Smartphone in der Lage sein, mit dem entsprechenden Terminal kontaktlos zu
kommunizieren. Die Verwendung von Google Wallet beschränkt sich daher auf Smartphones mit
entsprechender NFC-Unterstützung. Aktuell gibt es nur wenige Geräte, die diese Anforderung
erfüllen 24. Dies und die Tatsache, dass derzeit lediglich die von der Citibank herausgegebene
MasterCard-Kreditkarte von Google Wallet unterstützt wird, sind mit die Hauptfaktoren für die
aktuell noch geringe Marktdurchdringung von Google Wallet.
A-SIT befasste sich im Rahmen eines gesonderten Projekts bereits intensiver mit dem Thema
Google Wallet. Weiterführende Informationen, verfügbare technische Details, sowie eine Analyse
der implementierten Sicherheitsfeatures finden sich in der im Zuge dieses Projekts erstellten
Studie [3].
Anfang Juni 2012 erschien ein Bericht 25 über Pläne des Mobilfunkbetreibers Sprint eine eigene
Mobile Wallet Lösung zu entwickeln. Da Sprint bis dato der einzige Mobilfunkbetreiber ist, der
Google Wallet unterstützt, könnten diese neuen Pläne von Sprint durchaus negative Auswirkungen
auf den weiteren Erfolg von Google Wallet haben. Die Unterstützung zweier Mobile Wallet
Lösungen auf einem Gerät scheint schon aus rein technischer Sicht schwierig und daher
unwahrscheinlich, benötigt doch jede Wallet-Applikation exklusiven Zugriff auf das Secure
Element.
Update: Am 1. August 2012 gab Robin Dua, Head of Product Management, Google Wallet,
bekannt, dass die von Google Wallet verfolgte Strategie zur Speicherung von
Kreditkarteninformationen geändert wurde [10]. Die aktuelle Version der Google Wallet App legt
diese Daten nun auf zentralen Google-Servern und nicht mehr im Secure Element des
Mobiltelefons ab. Auf dem Mobiletelefon selbst – bzw. im Secure Element des Geräts – wird ab
sofort lediglich eine eindeutige ID gespeichert, die für die Durchführung von Bezahlvorgängen
benötigt wird. Nähere Informationen und technische Details über diesen neuen Ansatz sind bis
dato noch nicht verfügbar. Die in diesem Abschnitt gegebene Beschreibung bezieht sich jedenfalls
auf die ursprüngliche Implementierung von Google Wallet und ist für den ab sofort verfolgten
Ansatz der serverseitigen Datenspeicherung nur mehr bedingt gültig.
23
Unabhängige Untersuchungen der Google Wallet App zeigten, dass die verwendete PIN nur unzureichend
geschützt im Speicher des Smartphones hinterlegt ist. Vor allem auf gerooteten Geräten kann die PIN daher
mit relativ wenig Aufwand erfolgreich extrahiert werden. Google weist daher ausdrücklich darauf hin, dass
Google Wallet nur auf nicht-gerooteten Geräten unterstützt wird.
24
http://m.zdnet.com/blog/gadgetreviews/google-wallet-extends-its-reach-to-three-new-phones-will-itincrease-adoption/29254
25
http://nfctimes.com/news/sprint-plans-launch-nfc-mobile-wallet-us-wallet-war-heats
Studie_NFC_Payments_v1.1.docx
Seite: 11 von 27
3.4.
ISIS
ISIS26 ist ein Projekt der US-amerikanischen Mobilfunkbetreiber AT&T 27, T-Mobile 28 und Verizon 29.
Ziel von ISIS ist die Entwicklung einer Mobile Payment Lösung, die es erlaubt, verschiedene
Kredit- Debit- und Prepaidkarten in einer Smartphone-App zu virtualisieren und mit diesen
kontaktlos zu bezahlen. Mit ISIS versuchen drei der größten amerikanischen Mobilfunkbetreiber im
Mobile Payment-Bereich Fuß zu fassen, um dadurch ein neues Geschäftsfeld zu lukrieren. ISIS ist
konzeptuell im Prinzip Google Wallet sehr ähnlich, versucht jedoch offenbar einige Fehler, die den
Erfolg von Google Wallet derzeit noch zu behindern scheinen, zu vermeiden. So wird ISIS im
Gegensatz zu Google Wallet nicht auf einen einzelnen Mobilfunkbetreiber beschränkt sein,
sondern auf die Unterstützung von AT&T, Verizon und T-Mobile bauen können. Darüber hinaus
unterstützt ISIS mehr Karten-Brands als Google Wallet. So wird ISIS offiziellen Angaben zufolge
mit Visa, MasterCard, American Express 30 und Discover 31 funktionieren 32. Außerdem konnte sich
ISIS bereits die Unterstützung sechs namhafter Hersteller von Mobiltelefonen sichern. HTC 33,
LG 34, Motorola Mobility 35, RIM 36, Samsung Mobile 37 und Sony Ericsson 38 sagten bereits zu, NFCfähige Geräte, die ISIS unterstützen, herzustellen und anzubieten 39.
So wie Google Wallet basiert auch ISIS auf der NFC-Technologie. Kartendetails werden auch bei
ISIS in einem Secure Element gespeichert. Dieses wird jedoch im Gegensatz zu Google Wallet
über die SIM-Karte implementiert. Für den Zugriff auf dieses Secure Element ist die Eingabe einer
PIN nötig. Diese kann beliebig gewählt werden.
Eine erste Pilotphase von ISIS ist für Sommer 2012 in den US-amerikanischen Städten Austin und
Salt Lake City angekündigt. Weitere Rollout-Pläne sind von offizieller Seite bis dato nicht
verfügbar. Die Zukunft wird zeigen, ob ISIS in der Lage sein wird, Google Wallet in Bezug auf
Akzeptanz zu überflügeln. Ein interessanter Vergleich der beiden Lösungen und eine Abschätzung
zukünftiger Entwicklungen findet sich in einem Artikel der Online-Plattform Mobile Payment
Today 40.
3.5.
Paybox NFC
Das österreichische Unternehmen Paybox 41 betreibt bereits seit einiger Zeit diverse mobile
Zahlungsdienste. Die Transaktionsautorisierung erfolgte dabei bisher über SMS bzw. Eingabe
einer über einen automatisierten Anruf übermittelten PIN direkt am Mobiltelefon. Der zu zahlende
Betrag wird direkt vom Konto abgebucht oder zur nächsten Handy-Rechnung addiert.
26
http://www.paywithisis.com/
27
http://www.sprint.com/index_p.html
28
http://www.t-mobile.com/
29
http://www.verizonwireless.com/b2c/index.html
30
https://www.americanexpress.com/
31
https://www.discover.com/
32
http://gigaom.com/2011/07/19/isis-recruits-credit-card-companies-for-mobile-payment-push/
33
http://www.htc.com
34
http://www.lg.com
35
http://www.motorola.com/Consumers/DE-DE/Home
36
http://www.rim.com/
37
http://www.samsung.com/us/mobile/cell-phones
38
http://www.sonymobile.com/global-de/
39
http://gigaom.com/2011/09/27/handset-makers-line-up-behind-isis-nfc-payment-platform/
40
http://www.mobilepaymentstoday.com/blog/7665/Isis-Google-Wallet-compare-and-contrast-NFC-paymentsolutions
41
http://www.paybox.at/
Studie_NFC_Payments_v1.1.docx
Seite: 12 von 27
Derzeit testet Paybox im Rahmen eines Pilotbetriebs einen neuen auf der NFC-Technologie
basierenden Ansatz für die mobile Durchführung von Bezahlvorgängen. Zahlungen bis zu 25€
können durchgeführt werden, indem das NFC-fähige Mobiltelefon an einen entsprechenden
Terminal mit integriertem NFC-Lesegerät gehalten wird. Auf diese Weise können täglich
Transaktionen bis zu 50€ durchgeführt werden. Eine Transaktionsautorisierung über Eingabe einer
PIN ist nicht vorgesehen. Die Abwicklung eines Bezahlvorgangs ist aus Sicht der Benutzerin bzw.
des Benutzers ähnlich zu MasterCard PayPass oder Visa PayWave Verfahren. Paybox NFC
basiert im Gegensatz zu vielen anderen Ansätzen jedoch nicht auf diesen Verfahren und ist zu
diesen auch nicht kompatibel.
Die Verwendung von Paybox NFC setzt grundsätzlich eine NFC-Unterstützung des verwendeten
Mobiltelefons voraus. Paybox bietet Kundinnen und Kunden jedoch auch einen Sticker an, der am
Mobiltelefon angebracht werden kann, um dieses um NFC-Funktionalität zu erweitern. Dieser
Sticker enthält alle nötigen NFC-Komponenten, sowie ein Secure Element, in dem
sicherheitskritische Daten sicher hinterlegt werden. Wird Paybox NFC mit einem Smartphone mit
integrierter NFC-Unterstützung verwendet, fungiert die SIM-Karte als Secure Element. Laut
offiziellen Angaben werden sämtliche Daten zwischen Secure Element und Terminal im Zuge der
Bezahlung sicher und codiert übertragen. Laut Hersteller kommt dazu eine 1024bitVerschlüsselung zur Anwendung 42.
3.6.
Touch2Pay
In Neuseeland ist ein NFC-basiertes Bezahlsystem mit dem Namen Touch2Pay 43 verfügbar.
Touch2Pay entstand aus einer Kooperation des Mobilfunkbetreibers 2degrees 44 mit dem
Unternehmen Snapper 45, einem Anbieter für kontaktlose Bezahlsysteme. Snapper bietet Kunden
die Möglichkeit, Zahlungen über eine NFC-basierte kontaktlose Smartcard durchzuführen. Kunden
können Guthaben auf diese Karten buchen und diese dann nutzen, um etwa Bustickets,
Taxifahrten, oder Einkäufe an eigens dafür vorgesehenen Terminals zu bezahlen.
In Kooperation mit dem Mobilfunkbetreiber 2degrees ist dieses Service nun auch für Mobiltelefone
verfügbar. Ein NFC-basiertes Mobiltelefon übernimmt dabei die Rolle der Smartcard. Die
Verwendung von Smartphones und einer speziellen App geben Benutzerinnen und Benutzern die
Möglichkeit, das aktuelle Guthaben jederzeit zu überprüfen und über Bekanntgabe entsprechender
Kreditkartendaten neu aufzuladen.
Um über Touch2Pay mit dem Mobiltelefon bezahlen zu können, ist das Smartphone LG Optimus
Net mit Android-Betriebssystem nötig. Darüber hinaus muss das verwendete Smartphone mit einer
speziellen SIM-Karte ausgestattet werden, die als Secure Element fungiert und auf der das
Snapper Applet, welches sonst auf der Snapper-Smartcard aufgebracht wird, installiert wird. Das
Secure Element der SIM-Karte wird über das Single-Wire Protocol 46 angesprochen. Die
Kommunikation ist über kryptographische Methoden abgesichert. Alle Transaktionen werden mit
dem kryptographischen Algorithmus 3DES abgesichert. Eine Transaktionsautorisierung etwa durch
Eingabe einer PIN ist nicht vorgesehen. Das Unternehmen Snapper empfiehlt jedoch unter
anderem, den Zugriff auf das Smartphone generell über eine PIN abzusichern 47. Darüber hinaus
wird eine Registrierung der persönlichen Snapper-Nummer empfohlen, um im Falle von Verlust
oder Diebstahl des Smartphones die Bezahlfunktion über eine Hotline sperren zu können.
42
http://futurezone.at/english/8635-mobile-payment-a1-starts-nfc-testing-project.php
43
http://www.2degreesmobile.co.nz/touch2pay
44
http://www.2degreesmobile.co.nz/home
45
https://www.snapper.co.nz/
46
Eine genauere Beschreibung dieses Protokolls findet sich u.a. in [3]
47
http://www.snapper.co.nz/what-s-under-the-cover/
Studie_NFC_Payments_v1.1.docx
Seite: 13 von 27
3.7.
MTS Money NFC
Der russische Mobilfunkbetreiber MTS 48, MasterCard und die russische MTS Bank 49 starteten im
Mai 2012 den ersten russischen NFC-basierten Bezahldienst 50. Dieser ermöglicht die Bezahlung
von kleinen Beträgen bis maximal 1000 Rubel (~25€) mit Hilfe von Mobiltelefonen. Dabei können
bestehende Geräte um eine NFC-Antenne und entsprechende SIM-Karte, die als Secure Element
fungiert, erweitert werden. Alternativ können Kundinnen und Kunden auch das Smartphone Sony
Xperia Sola mit integrierter NFC-Funktionalität erwerben.
Die durchgeführten Transaktionen beruhen auf dem MasterCard PayPass Verfahren. Die Rolle der
kontaktlosen Kreditkarte wird vom NFC-fähigen Mobiltelefon übernommen. Eine Autorisierung der
Transaktionen durch Eingabe einer PIN o.ä. ist nicht vorgesehen.
3.8.
WyWallet
WyWallet 51 ist ein SMS-basiertes Bezahlsystem, das von den vier schwedischen
Mobilfunkanbietern Telia 52, Tele2 53, Telenor 54 und 3 55, sowie dem Softwareunternehmen Mobill 56
entwickelt wurde. WyWallet ermöglicht Kundinnen und Kunden Waren per SMS zu bestellen und
zu bezahlen. Das Verfahren sieht auch den Einsatz eines Scanners vor, der in der Lage ist, Daten
direkt vom Display eines Mobiltelefons zu lesen. Im Kontext dieser Studie vor allem interessant ist
die Tatsache, dass dieser Scanner – obwohl WyWallet vorerst als rein SMS-basiertes Verfahren
betrieben wird – auch bereits NFC-kompatibel ist. Eine spätere Erweiterung des WyWalletVerfahrens auf eine NFC-basierte Abwicklung ist damit einfach möglich.
3.9.
Bezahlen von Park-Tickets
In Ottawa, Kanada wird das PayByPhone 57-Verfahren für den Kauf von Park-Tickets für
gebührenpflichtige Parkplätze angeboten, welches unter anderem auch eine Unterstützung für
NFC-Technologie bietet 58. Tatsächlich wird NFC jedoch nicht für die Abwicklung des
Bezahlvorgangs verwendet, sondern dient lediglich der Identifizierung von Park-Ticket-Automaten,
welche mit entsprechenden NFC-Tags ausgestattet sind. Diese Tags werden von einer speziellen
App ausgelesen, die diese (und andere von der Benutzerin bzw. vom Benutzer angegebenen)
Daten schließlich an ein zentrales Service überträgt. Die Bezahlung selbst wird über hinterlegte
Kreditkartendaten vorgenommen.
Ein ähnliches Verfahren kommt auch in San Francisco, USA zum Einsatz 59. Auch hier werden
Parkuhren seit 2011 sukzessive mit NFC-Aufklebern versehen, welche das Bezahlen der
Parkgebühren über Mobiltelefone erleichtern. Auch hier ist die NFC-Technologie jedoch nicht
unmittelbar in den Bezahlvorgang involviert, sondern dient einzig der Identifizierung der jeweiligen
Parkuhr.
48
http://www.vis.mtsgsm.com/welcome/
49
http://www.mtsbank.ru/en/
50
http://www.mtsbank.ru/en/profile/news/detail/14073/
51
http://wywallet.se/
52
http://www.telia.se/privat/
53
http://www.tele2.se/
54
http://www.telenor.se/privat/index.html
55
http://www.tre.se/
56
http://www.mobill.se/en/
57
http://paybyphone.com/
58
http://ottawa.ca/en/roads_trans/parking/paybyphone/index.htm
59
http://www.nfcworld.com/2011/12/18/311965/san-francisco-gets-nfc-parking-meters/
Studie_NFC_Payments_v1.1.docx
Seite: 14 von 27
Andere Städte sind diesbezüglich bereits weiter und bieten die Möglichkeit, Tickets für
gebührenpflichtige Parkplätze auch via NFC zu bezahlen. Ein derartiger Dienst wurde
beispielsweise in der polnischen Stadt Krakau im Rahmen einer Kooperation von First Data, der
für die öffentliche Infrastruktur in Krakau zuständigen Behörde und der City Parking Group
entwickelt 60.
3.10.
In2Pay® iCaisse
Das In2Pay® iCaisse 61 der Firma DeviceFidelity 62 ist eine Ummantelung für das Apple iPhone, die
dieses um eine NFC-Antenne und ein Secure Element erweitert und damit für NFC-basierte
Bezahlvorgänge verwendbar macht. Über den Apple Universal Connector kann das iCaisse zudem
mit dem iPhone verbunden werden.
Das Produkt wurde sowohl von Visa als auch von MasterCard zertifiziert und kann damit
beispielsweise für MasterCard PayPass basierte Bezahlvorgänge verwendet werden. Das iCaisse
selbst repräsentiert kein Bezahlsystem, ermöglicht jedoch die Entwicklung dieser, indem es das
Apple iPhone um NFC-Technologie erweitert.
3.11.
Moneto
Die Unternehmen DeviceFidelity62 und Spring Card Systems 63 entwickelten zusammen eine NFCfähige microSD-Karte. Mit Hilfe dieser Karte können Smartphones, die über keine integrierte NFCUnterstützung verfügen, für kontaktlose Bezahlsysteme wie z.B. MasterCard PayPass verwendet
werden. Für die NFC-basierte Kommunikation muss zusätzlich ein sogenannter Boost-Sticker
unter dem Cover des Smartphones angebracht werden.
Moneto 64 ist eine mobile Geldbörse in Form einer Prepaid-Karte von MasterCard, die auf diese
Technologie zurückgreift. Über entsprechende für Android und iPhone verfügbare Smartphone
Apps kann auf die mobile Geldbörse zugegriffen werden, um diese aufzuladen oder das aktuelle
Guthaben zu prüfen. An entsprechenden MasterCard PayPass Terminals kann anschließend mit
dem Mobiltelefon bezahlt werden. Voraussetzung sind die Installation der Moneto App, sowie die
Integration der microSD-Karte in das Smartphone. Während viele Android Smartphones von Haus
aus über einen entsprechenden micro-SD-Slot verfügen, müssen iPhones um einen solchen
erweitert werden. Entsprechende Ummantelungen existieren dazu bereits (siehe Abschnitt 3.10).
Bezüglich der implementierten Sicherheitsmechanismen sind relativ wenige Informationen
verfügbar. Laut offiziellen Angaben 65 kann eine PIN gesetzt werden, um Transaktionen
abzusichern. Diese PIN wird im Gegensatz zu Google Wallet im Secure Element der micro-SDKarte gespeichert. Laut Produkt-Webseite speichert und verschlüsselt die microSD-Karte alle
Daten, sodass nur die Moneto-App darauf zugreifen kann. Inwieweit diese App sicher gegen
Angriffe ist, bzw. inwiefern der exklusive Zugriff der App auf die microSD-Karte implementiert ist,
kann aus der verfügbaren Beschreibung des Verfahrens nicht festgestellt werden.
3.12.
Cep-T Cüzdan
Cep-T Cüzdan 66 ist eine auf der NFC-Technologie beruhende mobile Geldbörse, die vom
türkischen Mobilfunkbetreiber Turkcell entwickelt wurde 67. Die Sicherheit dieser Lösung beruht auf
60
https://contactlesscities.wordpress.com/2012/05/04/first-data-enables-contactless-payments-at-parkingmeters-in-krakow/
61
http://www.devifi.com/assets/In2Pay_iCaisse4_Datasheet_v1.0.pdf
62
http://www.devicefidelity.com/
63
http://www.springcard.com/index.php
64
http://www.moneto.me/
65
http://www.moneto.me/media
66
http://www.turkcell.com.tr/bireysel/servisler/Sayfalar/Turkcell-Cep-T-Cuzdan.aspx
Studie_NFC_Payments_v1.1.docx
Seite: 15 von 27
dem Einsatz spezieller SIM-Karten, die als Secure Element fungieren. Die Kommunikation
zwischen SIM-Karte und den NFC-Komponenten des Mobiltelefons basiert auf dem Single Wire
Protokoll 68.
Um die Lösung auch für Kundinnen und Kunden ohne NFC-fähiges Mobiltelefon verwendbar zu
gestalten, bietet Turkcell zwei verschiedene Add-on-Lösungen an, um NFC-Unterstützung für
vorhandene Mobiltelefone zu gewährleisten. Dabei handelt es sich einerseits um die N-Flex
SIM+antenna 69 Lösung der Firma Gemalto 70 und andererseits um das Produkt Copni NFC
SIM+antenna 71 des Unternehmens On Track Innovations 72. Beide Lösungen ermöglichen die
Verwendung NFC-basierter Anwendungen auf Mobiltelefonen mit fehlender integrierter NFCUnterstützung.
Cep-T Cüzdan basiert auf dem MasterCard PayPass Standard. Benutzerinnen und Benutzer
können mit ihren entsprechend ausgestatteten Mobiltelefonen also MasterCard PayPass
Transaktionen bis zu einer Höhe von 35 TL durchführen. Die Eingabe einer PIN ist in diesem Fall
nicht vorgesehen.
Im Zuge der Entwicklung dieser Lösung wurde auch eine TSM (Trusted Service Manager)
Plattform entwickelt und in den OTA (Over-the-Air) Dienst des Mobilfunkbetreibers Turkcell
integriert. Die entwickelte TSM-Plattform wurde von MasterCard zertifiziert. Cep-T Cüzdan ist seit
Mitte 2011 in der Türkei verfügbar.
Einige Monate zuvor hatte bereits der türkische Mobilfunkbetreiber Avea 73 zusammen mit der
Garanti Bank 74 ein NFC-basiertes Bezahlsystem in der Türkei gestartet 75. Dieses basiert auf der
von Gemalto entwickelten N-Flex SIM+antenna Lösung, mit derer Hilfe handelsübliche
Mobiltelefone um NFC-Funktionalität erweitert werden können. Wie die vom türkischen
Konkurrenten Turkcell entwickelte Lösung basiert auch das von Avea angebotene System auf dem
MasterCard PayPass-Standard.
3.13.
Visa PayWave bei den Olympischen Spielen 2012
Während der Olympischen Spiele 2012 in London können ausgewählte Benutzerinnen und
Benutzer mit Hilfe einer speziellen auf dem Smartphone Samsung Galaxy S III installierten
Applikation kontaktlose Zahlungen vornehmen 76.
Das umgesetzte Verfahren basiert auf dem Visa PayWave Standard. Benutzerinnen und Benutzer
können eine Zahlung an entsprechenden Visa PayWave Terminals initiieren, indem sie die
entsprechende App am Smartphone starten und dieses dann an das Terminal halten. Für
Zahlungen über 20£ ist zudem die Eingabe einer PIN erforderlich. Ob und wie diese PIN am
Smartphone sicher gespeichert bzw. verarbeitet wird, wurde nicht bekannt gegeben.
67
http://www.nfcworld.com/2011/05/05/37235/turkcell-launches-commercial-nfc-payments-with-yapi-kredibank/
68
Details zu diesem Protokoll finden sich u.a. in [3].
69
http://www.nfcworld.com/2010/05/05/33579/mastercard-dbs-bank-starhub-and-ez-link-to-test-gemalto-nfcadd-on-in-singapore/
70
http://www.gemalto.com/
71
http://www.nfcworld.com/2011/01/05/35541/oti-copni-nfc-sim-plus-antenna/
72
http://www.otiglobal.com/
73
http://www.avea.com.tr/
74
http://www.garanti.com.tr/tr/
75
http://www.nfcworld.com/2010/12/10/35424/avea-and-garanti-bank-launch-commercial-nfc-service-in-
turkey/
76
http://www.nfcworld.com/2012/05/09/315594/Visa-and-samsung-reveal-olympics-nfc-payments-plans/
Studie_NFC_Payments_v1.1.docx
Seite: 16 von 27
3.14.
girogo
In Deutschland wird derzeit von der Deutschen Kreditwirtschaft 77 das NFC-basierte Bezahlsystem
girogo 78 im Großraum Hannover, Braunschweig und Wolfsburg pilotiert. Bei der eingesetzten
Lösung handelt es sich um ein Prepaid-Verfahren. Um Zahlungen durchführen zu können, muss
eine NFC-fähige Karte entweder an Geldautomaten oder an Bezahlterminals bis zu einem Betrag
von 200€ aufgeladen werden. Zahlungen können dann am POS an entsprechenden Terminals
durchgeführt werden. Eine PIN-Eingabe oder andersartige Autorisierung ist nicht nötig.
Interessant ist die Abo-Laden Funktion, die fürs Erste jedoch nur von der Deutschen Sparkasse 79
angeboten wird. Bei dieser Funktion wird das Guthaben der Karte automatisch nachgeladen, wenn
der verfügbare Betrag für den aktuellen Bezahlvorgang nicht ausreicht.
In Bezug auf implementierte Sicherheitsmechanismen wird von offizieller Seite darauf verwiesen,
dass sämtliche transaktionsbezogenen Daten zwischen Karte und Terminal verschlüsselt
übertragen werden.
Für die Zukunft ist eine stärkere Integration der Smartphone-Technologie geplant.
Interessanterweise wird dabei die Rolle des Smartphones weniger als Ersatz für die Karte, als viel
mehr als Ersatz für das Terminal des Händlers gesehen. So werden Szenarien angedacht, in
denen Kundinnen und Kunden ihre Karte auf das Smartphone eines Dienstleisters oder Händlers
legen, um eine Zahlung vorzunehmen 80.
3.15.
PagSeguro P2P NFC-Payment
In Brasilien bietet PagSeguro 81 – ein Anbieter für Online-Bezahlsysteme – seit kurzem ein NFCbasiertes P2P-Bezahlsystem für Smartphones an 82. Dieses wurde von INdT (Instituto Nokia de
Tecnologia) 83 entwickelt und funktioniert auf den Smartphones Nokia C7, Nokia N9 und Nokia 701,
die alle über eine entsprechende NFC-Unterstützung verfügen.
Die entwickelte Lösung besteht aus einer Smartphone App, über die Zahlungen sowohl getätigt als
auch entgegengenommen werden können. Unter Verwendung dieser App ist es somit möglich,
Zahlvorgänge direkt zwischen zwei Smartphones ohne jegliche zentrale Infrastruktur (Terminals,
etc.) abzuwickeln.
Der Zugriff auf die App und somit auf die Möglichkeit Zahlungen durchzuführen ist über eine PIN
abgesichert. Nähere Details zu den umgesetzten Sicherheitsmechanismen sind derzeit nicht
verfügbar. Die Zahlung selbst kann über unterschiedliche Formen abgewickelt werden. Zur
Auswahl stehen unter anderem Kreditkartenzahlungen oder auch die Bezahlung über einen
PayPal-Account. Die gewünschte Bezahlform kann vom Bezahler im Zuge jeder Transaktion
dynamisch ausgewählt werden. Zu etablierten kontaktlosen POS-Systemen wie MasterCard
PayPass oder Visa PayWave ist die von PagSeguro entwickelte P2P-Lösung jedoch nicht
kompatibel.
3.16.
Mobile-Payment Lösung von CIBC und Rogers Communications
Der kanadische Mobilfunkbetreiber Rogers Communications 84 und das Bankinstitut CIBC 85 planen
noch für das Jahr 2012 die Einführung einer NFC-basierten Mobile-Payment Lösung. Das
77
http://www.die-deutsche-kreditwirtschaft.de/
78
http://www.girogo.de/
79
http://www.sparkasse.de/
80
http://www.heise.de/newsticker/meldung/Sparkassen-fuehren-NFC-Payment-ein-1403383.html
81
http://www.sparkasse.de/
82
http://www.nfcworld.com/2012/04/17/315125/pagseguro-to-launch-nfc-p2p-payments-in-brazil/
83
http://www.indt.org/
84
http://www.rogers.com/web/Rogers.portal
Studie_NFC_Payments_v1.1.docx
Seite: 17 von 27
vorgestellte Verfahren zur Abwicklung von Kreditkartenzahlungen beruht auf der SIM-Karte des
Mobiltelefons als sichere Ausführungsumgebung. In einer ersten Phase wird die Mobile-Payment
Lösung auf ausgewählten BlackBerry Smartphones verfügbar sein.
In Bezug auf vorgesehene und implementierte Sicherheitsmechanismen sind bis dato noch wenige
Informationen verfügbar. Laut offiziellen Angaben 86 soll die Verwendung der Mobile-Payment
Lösung genauso sicher wie die übliche Bezahlung mit kontaktlosen Kreditkarten sein.
Benutzerinnen und Benutzern wird darüber hinaus die Möglichkeit gegeben, das Verfahren durch
Setzen eines Passworts zusätzlich abzusichern.
3.17.
CHARGE Anywhere® Mobile Payment App
CHARGE Anywhere® 87, ein Anbieter für mobile Zahlungssysteme und Technologien, stellte im Mai
2012 ein neues Produkt vor, mit dessen Hilfe NFC-fähige BlackBerry Smartphones als Terminals
für NFC-basierte Zahlungen verwendet werden können 88.
Die Lösung sieht die Installation einer speziellen App auf einem BlackBerry Smartphone vor. Mit
Hilfe dieser App kann das Smartphone zu einem MasterCard PayPass oder Visa PayWave
Terminal umfunktioniert werden und somit Zahlungen von entsprechenden kontaktlosen
Kreditkarten entgegennehmen und sowohl Kreditkarten- als auch Debit-Zahlungen abwickeln.
3.18.
Quick Tap
Bereits im Jahr 2011 wurde in Großbritannien vom Mobilfunkbetreiber Orange 89 und dem
Kreditkartenherausgeber Barclaycard 90 ein NFC-basierter Bezahldienst ins Leben gerufen 91. Die
Quick Tap 92 genannte Lösung ermöglicht Kundinnen und Kunden Guthaben bis zu 100£ auf ihre
Mobiltelefone zu laden und mit diesen dann an geeigneten POS kontaktlos Zahlungen zu tätigen.
Auf diese Weise können Beträge bis zu 15£ einfach und ohne Eingabe einer PIN bezahlt werden.
Die technischen Komponenten dieser Lösung werden von Gemalto geliefert. Gemalto steuert
Trusted Service Management (TSM) Dienste bei und beliefert Orange mit entsprechenden NFCfähigen SIM-Karten.
Aus Sicht der Benutzerinnen und Benutzer bildet eine spezielle Smartphone App die zentrale
Komponente von Quick Tap. Über diese App können unter anderem Zahlungen initiiert, sowie
aktuelle Guthaben eingesehen werden. Die Eingabe einer PIN zur Transaktionsautorisierung ist
nicht zwingend vorgesehen, kann jedoch wenn gewünscht aktiviert werden.
Nach dem Start des Quick Tap Dienstes war dieser ausschließlich für Kundinnen und Kunden mit
einem Konto bei der Barclay Bank 93 verfügbar. Die Notwendigkeit eines NFC-fähigen Mobiltelefons
stellte eine weitere Einschränkung dar, die eine breite Anwendung der Lösung verhinderte.
Um diesem Umstand entgegenzuwirken, stellte Barclaycard im April 2012 das Produkt Barclaycard
PayTag vor. Dabei handelt es sich um einen NFC-Sticker, der auf beliebigen Mobiltelefonen
aufgebracht werden kann, um diese Geräte einfach um NFC-Funktionalität zu erweitern.
85
https://www.cibc.com/ca/personal.html
86
http://www.newswire.ca/en/story/974935/cibc-and-rogers-unveil-the-future-of-mobile-payments-in-canada
87
http://www.chargeanywhere.com/
88
http://www.prnewswire.com/news-releases/charge-anywhere-taps-into-the-future-with-nfc-paymentacceptance-on-blackberry-smartphones-at-blackberry-world--2012-149691285.html
89
http://www.orange.co.uk/
90
http://www.barclaycard.co.uk/personal
91
http://www.nfcworld.com/2011/05/20/37535/uk-gets-first-commercial-nfc-service-with-quick-tap-fromorange-and-barclaycard/
92
http://shop.orange.co.uk/mobile-phones/contactless/
93
http://www.barclays.co.uk/
Studie_NFC_Payments_v1.1.docx
Seite: 18 von 27
Zusätzliche Funktionen wie etwa eine zusätzliche Absicherung über eine PIN, die für Smartphones
mit integrierter NFC-Unterstützung zur Verfügung stehen, können mit Barclaycard PayTag jedoch
nicht genutzt werden.
Eine weitere Variante der mobilen NFC-basierten Bezahlung wird von Barclaycard beim
diesjährigen Wireless Festival in London angeboten 94. Besucher können hier mit einem speziellen
NFC-fähigen Armband, auf welches Guthaben gebucht werden kann, am Festivalgelände
bargeldlos bezahlen. Aus technischer Sicht funktioniert dieses Armband wie ein PayTag Sticker
und bietet prinzipiell auch dieselbe Funktionalität, kann jedoch nur bis zu einem Betrag von 20£
aufgeladen werden.
3.19.
BOKU Accounts
Das in San Francisco, USA, ansässige Unternehmen BOKU 95 bietet Mobilfunkbetreibern mit
BOKU Accounts 96 ein White-Label Service an, mit dem diese ihren Kundinnen und Kunden ein
umfangreiches mobiles Zahlungssystem zur Verfügung stellen können.
Endkunden, die sich zu BOKU Accounts anmelden, erhalten ein Prepaid-Konto, welches über
Kreditkarte, Bankkonto, oder über manuelle Ladevorgänge bei teilnehmenden Händlern
aufgeladen werden kann. Außerdem erhalten Kundinnen und Kunden eine Prepaid MasterCard
Kreditkarte, einen NFC-Sticker, um ihr Mobiltelefon NFC-fähig zu machen, und eine Smartphone
App für iPhone oder Android, über die der eigene BOKU Account gewartet werden kann.
NFC spielt somit im Konzept von BOKU Accounts nicht die zentrale, jedoch sehr wohl eine
wichtige Rolle um ein umfassendes mobiles Zahlungssystem anbieten zu können.
3.20.
NFC-basierte Zahlungssysteme in Japan
Mobile Bezahlsysteme haben in Asien und hier vor allem in Japan und Südkorea eine relativ lange
Tradition. Bereits im Jahr 2005 erschien ein Bericht über einen einsetzenden Boom mobiler
Geldbörsen in Japan 97. Mittlerweile gehören mobile kontaktlose Bezahlformen in Japan zum Alltag.
Vor allem im Großraum Tokio-Kantō sehr beliebt ist die Suica (Super Urban Intelligent Card) 98,
eine wiederaufladbare elektronische Fahrkarte mit integriertem FeliCa RFID-Chip von Sony. Die
Suica wurde bereits im Jahr 2001 eingeführt und hatte fünf Jahre später bereits 16 Millionen
Anwenderinnen und Anwender.
Seit 2003 kann die Suica zudem mit einer Kreditkarte kombiniert werden. Seit 2006 bietet der
japanische Mobilfunkbetreiber NTT Docomo 99 Mobiltelefone mit integrierter Suica-Funktionalität
an.
Die Verwendung der Suica ist relativ einfach. Die Karte kann an Fahrkartenautomaten mit bis zu
20.000¥ (~200€) aufgeladen werden. Für den Bezahlvorgang reicht es aus, die Karte über ein
entsprechendes Terminal zu ziehen. Eine PIN-Eingabe ist nicht erforderlich. Aufgrund der
einfachen Bedienbarkeit wurde die Suica bereits im Jahr 2003 versuchsweise als elektronische
Geldbörse eingesetzt, mit der man in Bahnhofskiosken bezahlen konnte. Aufgrund des Erfolgs
wurde dies mittlerweile auf viele weitere Geschäfte ausgeweitet.
So wie bei Suica handelt es sich auch bei der PASMO-Karte100 um eine wiederaufladbare
Fahrkarte mit integriertem RFID-Chip. Die PASMO-Karte ist teilweise in anderen
94
http://www.theinquirer.net/inquirer/news/2174931/barclaycard-payband-bring-nfc-payments-wireless-
festival
95
http://www.boku.com/
96
http://www.boku.com/blog/say-hello-to-boku-accounts/
97
http://news.bbc.co.uk/2/hi/programmes/click_online/4384500.stm
98
http://www.jreast.co.jp/e/pass/suica.html
99
http://www.nttdocomo.com/
100
http://www.pasmo.co.jp/en/index.html
Studie_NFC_Payments_v1.1.docx
Seite: 19 von 27
Transportunternehmen gültig und kann ebenfalls in einer Vielzahl von Geschäften als
elektronische Geldbörse für kontaktloses Bezahlen verwendet werden.
Neben Suica und PASMO, deren großer Vorteil ein großer Kundenstamm ist, gibt es in Japan
noch zahlreiche weitere mobile und kontaktlose Zahlungsmethoden. Hier sind vor allem Nanaco 101
– eine kontaktlose Karte, die zur Zahlung in 7 Eleven Läden verwendet werden kann – und Edy 102
– eine in Japan von bitWallet, Inc. herausgegebene Prepaid-Karte – zu nennen. Die Funktionalität
vieler dieser Karten kann in Japan auch auf Mobiltelefonen verwendet werden. Das Mobiltelefon
wird dann als Osaifu-Keitai 103, was ins Englische übersetzt so viel wie „Wallet Mobile“ bedeutet,
bezeichnet.
Osaifu-Keitai wurde vom japanischen Mobilfunkbetreiber DOCOMO eingeführt. Vergleichbare
Produkte sind auch von konkurrierenden Mobilfunkbetreibern in Japan erhältlich. So wird
beispielsweise vom Mobilfunkbetreiber KDDI 104 in Kooperation mit JCB 105 eine mobile Geldbörse
namens EZ FeliCa 106 angeboten. Wie der Name bereits suggeriert, beruht diese Lösung so wie
auch nahezu alle anderen in Japan zum Einsatz kommenden mobilen Zahlungsmethoden auf der
von Sony entwickelten RFID-basierten FeliCa-Technologie.
Um auf die gegebene Wettbewerbssituation geeignet zu reagieren, stellte DOCOMO im April 2006
mit iD/DCMX eine Plattform für mobile Kreditkartentransaktionen vor. Bereits im Jahr 2009 gab es
in Japan 420.000 Terminals, an denen über diese Plattform bezahlt werden konnte.
3.21.
PayPal
Das Unternehmen PayPal 107 betreibt seit mehreren Jahren einen Internet-Bezahldienst, über den
Kundinnen und Kunden relativ einfach finanzielle Transaktionen vornehmen können. PayPal
verzichtet dabei auf Kontonummern, sondern identifiziert einzelne Personen über deren eindeutige
E-Mail-Adressen.
Für Smartphone-Plattformen wie Apple iOS oder Google Android bietet PayPal spezielle
Smartphone-Apps an, um PayPal-Transaktionen initiieren und abwickeln zu können. Für NFCfähige Android-Smartphones bietet die Android-App 108 zudem die Möglichkeit, Transaktionen über
NFC zu initiieren. Die beiden involvierten Personen müssen dazu ihre beiden NFC-fähigen
Smartphones aneinanderhalten, um den Zahlungsvorgang zu initiieren. Die Zahlung muss durch
Eingabe einer PIN autorisiert werden. Die Transaktion selbst wird im Anschluss als gewöhnliche
PayPal-Transaktion abgewickelt.
3.22.
CardMobile
Für das zweite Quartal 2012 wurde von der Raiffeisenbank International (RBI) 109 der Pilotbetrieb
von CardMobile – einem kontaktlosen Zahlungsverfahren für Mobiltelefone – angekündigt 110. Laut
RBI verbindet CardMobile die Debit-Funktion von Visa V PAY mit einer vom Unternehmen
101
http://www.nanaco-net.jp/index_pc.html
102
http://www.rakuten-edy.co.jp/
103
http://www.nttdocomo.com/services/osaifu/index.html
104
http://www.kddi.com/english/
105
http://www.jcb.jp/
106
http://www.au.kddi.com/ez_felica/
107
https://www.paypal.com
108
https://play.google.com/store/apps/details?id=com.paypal.android.p2pmobile&feature=search_result#?t=W2
51bGwsMSwxLDEsImNvbS5wYXlwYWwuYW5kcm9pZC5wMnBtb2JpbGUiXQ..
109
http://www.rbinternational.com
110
http://www.rbinternational.com/eBusiness/rzb_template2/677012584775275435-NA794132230154060915-NA-9-DE.html
Studie_NFC_Payments_v1.1.docx
Seite: 20 von 27
Cardis 111 entwickelten Lösung zur Zahlung kleiner Beträge. Mit CardMobile können Beträge bis zu
20€ ohne PIN-Eingabe einfach und kontaktlos an entsprechenden Terminals bezahlt werden. Bei
Beträgen über 20€ ist eine PIN-Eingabe zur Autorisierung der Zahlung erforderlich. CardMobile
folgt für die Bezahlung von kleinen Beträgen dem Prepaid-Modell. Demnach wird ein bestimmtes
Guthaben (bis zu 50€) auf das Mobiltelefon (bzw. das Secure Element) aufgebucht. Im Gegensatz
zu der in Österreich verbreiteten elektronischen Geldbörse Quick erfolgt die Aufbuchung jedoch
direkt am POS über das Terminal des Händlers und wird initiiert, sobald nicht mehr genug
Guthaben vorhanden ist. Größere Beträge werden über die Debit-Funktion Visa V PAY
abgewickelt.
CardMobile beruht auf der NFC-Technologie und wird vorerst ausschließlich für das Apple iPhone
angeboten. Da dieses über keine integrierte NFC-Unterstützung verfügt, muss für die Verwendung
von CardMobile das iPhone um ein iCaisse erweitert werden. Dieses enthält sowohl eine Antenne
zur Kommunikation über die NFC-Schnittstelle, als auch ein Secure Element (microSD-Karte) zur
sicheren Speicherung von Daten. Die dabei zur Anwendung kommende Technologie beruht auf
dem handelsüblichen EMV-Standard.
Um CardMobile am iPhone verwenden zu können, muss eine spezielle App installiert werden. Erst
wenn diese App gestartet ist, kann das iPhone mit dem Secure Element der microSD-Karte
kommunizieren.
CardMobile kann bei allen Händlern verwendet werden, die Visa V PAY akzeptieren und mit einem
entsprechenden kontaktlosen Terminal zur Durchführung von Visa PayWave Transaktionen
ausgestattet sind. Die kontaktlose Zahlung von Kleinbeträgen ohne vorherige PIN-Autorisierung
muss von den Händlern zusätzlich explizit unterstützt werden.
3.23.
T-Money
Mobile-Payment Lösungen haben auch in Südkorea bereits eine lange Tradition und können dort
bereits seit dem Jahr 2002 in Anspruch genommen werden. Während frühere Ansätze wie etwa
Moneta oder Moneta Cash mittlerweile einigermaßen überholt sind, erfreut sich das MobilePayment-Verfahren T-Money 112 nach wie vor großer Beliebtheit.
T-Money ist prinzipiell vergleichbar mit den in Japan verfügbaren Suica und PASMO-Karten und
hat seinen Ursprung im öffentlichen Transportwesen. Im Zuge der Restrukturierung des
öffentlichen Verkehrs in Südkoreas Hauptstadt Seoul wurde auch das Ticket-System auf eine
kontaktlose Technologie umgestellt. Passagiere können Guthaben auf eine Chipkarte laden und
mit dieser bei Terminals in Metro oder Bus kontaktlos bezahlen. Dazu muss die kontaktlose
Chipkarte lediglich an das Terminal gehalten werden, um den Preis für das Ticket abzubuchen.
Eine PIN-Eingabe ist nicht erforderlich.
Um neues Guthaben auf die Karte zu laden, können Passagiere ihre Chipkarte an eigenen
Automaten mit einer Debit- oder Kreditkarte verlinken. Die T-Money Karte selbst funktioniert jedoch
ausschließlich auf einer Prepaid-Basis.
Als kontaktlose Kommunikationstechnologie kommt ein proprietäres RFID-ähnliches System zur
Anwendung. Dieses ist aber weder mit dem FeliCa-Standard, noch mit NFC kompatibel. Die
kontaktlose Chipkarte verhält sich dabei als rein passives Element, welches im Card-EmulationModus operiert.
Wie die verwandten Verfahren Suica und PASMO-Karte in Japan, ist auch T-Money nicht auf die
Bezahlung von Tickets für den öffentlichen Verkehr beschränkt. Vielmehr kann T-Money auch bei
einer Vielzahl an weiteren Händlern, die über entsprechende Terminals verfügen, verwendet
werden.
Während T-Money ursprünglich als Chipkarte konzeptioniert wurde, ist dieses Verfahren
mittlerweile auch für Mobiltelefone verfügbar. Die südkoreanischen Mobilfunkbetreiber SK
111
http://www.cardis-international.net/
112
http://eng.koreasmartcard.com/
Studie_NFC_Payments_v1.1.docx
Seite: 21 von 27
Telecom 113, LG Telecom 114 und KT 115 bieten Kundinnen und Kunden die Möglichkeit, T-Money auf
ausgewählten Mobiltelefonen zu verwenden. Bei diesem Ansatz wird die SIM-Karte des
Mobiltelefons als Ersatz für die Chipkarte verwendet.
4. Analyse
NFC-basierte Zahlungssysteme erleben derzeit einen regelrechten Boom. Alleine in den ersten
beiden Quartalen 2012 wurde eine Vielzahl entsprechender Lösungen in zahlreichen Ländern auf
der ganzen Welt angekündigt. Ob sich diese Euphorie auch in Akzeptanzraten und Nutzerzahlen
niederschlagen wird, bleibt freilich abzuwarten.
Die Liste der im vorherigen Abschnitt dieser Studie beschriebenen Zahlungssysteme erhebt
keinerlei Anspruch auf Vollständigkeit. Zu schnell werden immer neue Projekte vorgestellt, deren
Ziel die Etablierung eines NFC-basierten Zahlungssystems ist. Die Web-Seite NFC Times [6] gibt
einen guten Überblick über die zahlreichen Aktivitäten, die derzeit im Bereich NFC und Mobile
Payments stattfinden.
Im Folgenden wird versucht, basierend auf den analysierten Zahlungsmethoden verschiedene
Unterscheidungskriterien zu definieren, anhand derer NFC-basierte Zahlungssysteme klassifiziert
werden können. Anhand der definierten Kriterien wird im Anschluss eine entsprechende
Klassifizierung der vorgestellten Verfahren und Lösungen vorgenommen.
4.1.
Kriterien
Trotz der Vielzahl an verschiedenen Ansätzen und Lösungen unterscheiden sich bestehende und
geplante NFC-basierte Zahlungssysteme zumeist nur in wenigen Punkten. Generell können diese
Zahlungssysteme anhand der in den folgenden Unterabschnitten beschriebenen zentralen
Kriterien klassifiziert werden.
4.1.1. Umsetzung des Secure Elements
Das Secure Element spielt in nahezu allen NFC-basierten Zahlungssystemen eine zentrale Rolle
und dient der sicheren Speicherung und Verarbeitung sicherheitskritischer Daten. Auf
Mobiltelefonen ergeben sich prinzipiell verschiedene Möglichkeiten der Umsetzung von Secure
Elements. Denkbar sind beispielsweise die Verwendung spezieller SIM-Karten, fix in das Gerät
integrierter Hardwaremodule, oder auch spezieller microSD-Karten mit integriertem Secure
Element 116.
Je nach Art der Umsetzung ergeben sich für die verschiedenen in NFC-basierten
Zahlungssystemen involvierten Parteien unterschiedliche Möglichkeiten der Kontrolle über das
Secure Element. Mobilfunkbetreiber etwa ziehen in der Regel eine Implementierung über die SIMKarte vor, da sich damit für diese ein neues Geschäftsfeld ergibt. Banken oder unabhängige
Zahlungsdienstanbieter bevorzugen hingegen mitunter austauschbare Hardwarekomponenten wie
microSD-Karten, die nicht an ein bestimmtes Gerät gebunden sind. In jedem Fall ist die
Implementierung und Umsetzung des Secure Elements ein interessantes Kriterium, anhand
dessen NFC-basierte Zahlungssysteme klassifiziert werden können.
4.1.2. Art der Transaktionsautorisierung
Kundinnen und Kunden sind es gewohnt, bargeldlose Transaktionen entsprechend zu autorisieren.
Bei Debit- oder Kreditkartenzahlungen erfolgt die Transaktionsautorisierung üblicherweise über die
Eingabe einer geheimen PIN direkt am POS. Kreditkartentransaktionen müssen alternativ mitunter
auch durch eine eigenhändige Unterschrift autorisiert werden.
113
http://www.sktelecom.com/
114
http://www.lg.co.kr/index/index.dev
115
http://www.kt.com/
116
Siehe Abschnitt 2.3 für eine ausführlichere Diskussion möglicher Umsetzungen für Secure Elements auf
Smartphones.
Studie_NFC_Payments_v1.1.docx
Seite: 22 von 27
Oberstes Ziel der meisten NFC-basierten Zahlungssysteme ist es, Zahlungen aus Sicht der
Kundinnen und Kunden so einfach wie möglich zu gestalten. Vor allem kleine Beträge – das
entsprechende Limit variiert je nach Land und Zahlungssystem geringfügig – können daher bei
einigen Systemen ohne jegliche zusätzliche Autorisierung bezahlt werden. Der Nachweis, im
Besitz des entsprechenden Zahlungstokens (Chipkarte, Mobiltelefon) zu sein, reicht bei diesen
Systemen aus. Argumentiert wird dieses Vorgehen zumeist mit der Tatsache, dass auch Bargeld,
das man in der Geldbörse hat, in keiner Form geschützt ist und sich NFC-basierte
Zahlungssysteme als Bargeldersatz verstehen.
Der Verzicht auf eine Transaktionsautorisierung für kleine Beträge findet sich jedoch nicht bei
jedem NFC-basierten Zahlungssystem. Diverse Lösungen setzen eine vorhergehende
Transaktionsautorisierung unabhängig von der Höhe des zu transferierenden Betrags voraus. Die
Autorisierung von Transaktionen ist daher ebenfalls ein interessantes Kriterium, anhand dessen
NFC-basierte Zahlungssysteme klassifiziert werden können.
4.1.3. Art der Transaktion
NFC-basierte Zahlungssysteme unterstützen unterschiedliche Transaktionsarten wie Prepaid-,
Debit-, oder Kreditkartenzahlungen. Durch die Integration der NFC-Technologie wurden keine
neuen Transaktionsarten entworfen, sondern lediglich die Kommunikation der Kundin bzw. des
Kunden mit der Infrastruktur des Zahlungssystems flexibler gestaltet. Durch die Verwendung
kontaktloser Kommunikationstechnologie konnte zudem die zuvor auf Chipkarten beschränkte
Funktionalität des Zahlungstokens auch auf andere Endgeräte wie Mobiltelefone ausgeweitet
werden.
Das Set an unterstützten Transaktionsarten kann ebenfalls als Kriterium zur Klassifikation NFCbasierter Zahlungssysteme herangezogen werden.
4.1.4. Stakeholder
In die Entwicklung und den Betrieb NFC-basierter Zahlungssysteme sind in der Regel
unterschiedliche Stakeholder aus verschiedenen Sektoren involviert. Sie alle haben ein Interesse
daran, über das Zahlungssystem einen größtmöglichen Gewinn zu erwirtschaften. Derartige
Überlegungen gehen auch oft im Rahmen der Konzeptionierung des Systems in diverse
Designentscheidungen mit ein. Das Paradebeispiel ist hier beispielsweise die Wahl einer
geeigneten Umsetzung des Secure Elements.
Bei der Analyse eines NFC-basierten Zahlungssystems sind daher auch die Stakeholder, die
maßgeblich in dessen Entwicklung und Betrieb involviert sind, von Bedeutung. Dabei handelt es
sich in der Regel um ein Konsortium verschiedener Unternehmen aus unterschiedlichen Sektoren.
NFC-basierte Zahlungssysteme können somit sehr gut anhand der verantwortlichen Stakeholder
bzw. anhand der Sektoren, denen diese zuordenbar sind, klassifiziert werden.
4.2.
Klassifizierung
Die in Abschnitt 3 beschriebenen konkreten Umsetzungen NFC-basierter Zahlungssysteme
können anhand der in Abschnitt 4.1 definierten Kriterien klassifiziert werden. Eine
Gegenüberstellung der einzelnen Zahlungssysteme und der definierten Kriterien ist in Tabelle 1
gegeben. Die in dieser Tabelle angeführten Daten beruhen auf öffentlich zugänglichen
Informationen zu den einzelnen Zahlungssystemen. Nicht verfügbare Informationen bzw. Daten
wurden mit dem Platzhalter „N/A“ gekennzeichnet.
Tabelle 1. Klassifizierung NFC-basierter Zahlungssysteme.
Zahlungssystem
SE-Umsetzung
TransaktionsAutorisierung
Transaktionsart
Stakeholder
MasterCard PayPass
Kontaktlose Chipkarte
Keine / PIN
Debit, Kreditkarte, Prepaid
Kreditkartenunternehmen
Visa PayWave
Kontaktlose Chipkarte
Keine / PIN
Debit, Kreditkarte, Prepaid
Kreditkartenunternehmen
Google Wallet
Integriertes Modul im
Smartphone
PIN
Kreditkarte, Prepaid
Hersteller Smartphone
Betriebssystem, Bank,
Studie_NFC_Payments_v1.1.docx
Seite: 23 von 27
Kreditkartenunternehmen,
Mobilfunkbetreiber,
Infrastrukturbetreiber für
Zahlungssysteme
ISIS
SIM
PIN
Debit, Kreditkarte, Prepaid
Mobilfunkbetreiber
Paybox NFC
SIM / Sticker
Keine
Debit,
Mobilfunkbetreiber
Telefonrechnung
Touch2Pay
SIM
Keine
Prepaid
Mobilfunkbetreiber,
Zahlungssystemanbieter
MTS Money NFC
SIM
Keine
Debit
Mobilfunkbetreiber, Bank,
Kreditkartenunternehmen
Moneto
microSD
PIN
Prepaid
Zahlungssystemanbieter,
Hardware-Hersteller
Cep-T Cüzdan
SIM
Keine
Kreditkarte
Mobilfunkbetreiber, Bank
Visa PayWave bei
Olympia 2012
SIM
Keine / PIN
N/A
Kreditkartenunternehmen,
Smartphone-Hersteller
girogo
Kontaktlose Chipkarte
Keine
Prepaid
Deutsche Kreditwirtschaft
PagSeguro P2P NFCPayment
N/A
PIN
Kreditkarte, PayPal
Zahlungsdienstanbieter
Rogers / CIBC
SIM
Passwort
Kreditkarte
Mobilfunkbetreiber, Bank
CHARGE Anywhere
N/A
N/A
Kreditkarte
Zahlungsdienstanbieter
Debit
Quick Tap
SIM
PIN
Prepaid
Mobilfunkbetreiber,
Kreditkarten-Herausgeber
BOKU Accounts
Sticker / SIM
N/A
Prepaid
Zahlungssystemhersteller
NFC-basierte
Zahlungssysteme in
Japan
Kontaktlose Chipkarte
Keine
Prepaid
Transportunternehmen
PayPal NFC
Keines
PIN
PayPal
Zahlungsdienstanbieter
CardMobile
microSD
Keine / PIN
Prepaid, Debit
Bank
T-Money
SIM
Keine
Prepaid
Zahlungsdienstanbieter
Eine nähere Analyse der in Tabelle 1 zusammengefassten Daten zeigt, dass nahezu alle
untersuchten Zahlungssysteme auf der Verwendung eines Secure Elements beruhen. Eine
Ausnahme bildet hier PayPal NFC, das NFC lediglich zur direkten Kommunikation zwischen zwei
Smartphones und in weiterer Folge zur Initiierung einer gewöhnlichen PayPal-Transaktion nutzt.
Auffällig ist auch, dass in den meisten Fällen die SIM-Karte des Mobiltelefons als Secure Element
verwendet wird. Vor allem bei Lösungen, bei denen Mobilfunkbetreiber direkt als Stakeholder
involviert sind, kommen fast ausschließlich SIM-basierte Secure Elements zur Anwendung.
Alternative Secure Element-Umsetzungen werden von Google Wallet oder auch von Moneto
verwendet. Bei diesen Lösungen kommen integrierte Hardwaremodule bzw. spezielle microSDKarten zur Anwendung.
In Bezug auf die Transaktionsautorisierung ergeben sich ebenfalls zum Teil erhebliche
Unterschiede zwischen den einzelnen Zahlungssystemen. Die Bezahlung größerer Beträge muss
– sofern dies vom jeweiligen Zahlungssystem unterstützt wird – in der Regel stets über eine PIN
Studie_NFC_Payments_v1.1.docx
Seite: 24 von 27
o.ä. autorisiert werden. Die Bezahlung kleinerer Beträge – der Grenzwert variiert hier je nach Land
und Zahlungssystem – kann mitunter auch ohne Eingabe einer PIN durchgeführt werden. In jedem
Fall ist die PIN das Mittel der Wahl, wenn eine zusätzliche Transaktionsautorisierung erwünscht ist.
Lediglich Rogers Communications und CIBC kündigten für Ihre kommende NFC-basierte Lösung
einen zusätzlichen Schutz durch ein Passwort an. Genaue Implementierungsdetails sind hier
jedoch noch nicht bekannt.
Bestehende NFC-basierte Zahlungssysteme unterstützen eine Reihe verschiedener
Transaktionsarten. Weit verbreitet sind aktuell Prepaid-Systeme, bei denen zunächst ein Guthaben
auf das mobile NFC-Gerät (zumeist das Mobiltelefon) gebucht werden muss. Auch
Kreditkartenzahlungen können häufig über kontaktlose Verfahren durchgeführt werden. Seltener
auch Debit-Zahlungen. Häufig unterstützen NFC-basierte Zahlungsverfahren mehrere
Transaktionsarten. Mit Google Wallet können beispielsweise sowohl Kreditkartenzahlungen als
auch Prepaid-Zahlungen vorgenommen werden. Auch ISIS soll verschiedene Transaktionsarten
unterstützen.
Auch in Bezug auf die in die Entwicklung und den Betrieb NFC-basierter Zahlungssysteme
involvierten Stakeholder ergeben sich interessante Erkenntnisse. So zeigt Tabelle 1, dass in vielen
Fällen Mobilfunkbetreiber und Vertreter des Finanzsektors die maßgeblichen Akteure in Bezug auf
Entwicklung und Betrieb NFC-basierter Zahlungssysteme sind. Dies erklärt wohl auch das
gesteigerte Interesse an der Verwendung von SIM-Karten als Secure Elements.
5. Ausblick
Während die Verwendung kontaktloser Chipkarten zur Durchführung von Bezahlvorgängen durch
die beiden Kreditkartenbrands MasterCard PayPass und Visa PayWave vor allem in Nordamerika
bereits einigermaßen etabliert ist, konnten mobile NFC-basierte Zahlungssysteme für
Mobiltelefone und Smartphones bisher noch keine weite Verbreitung finden. Eine Ausnahme
bilden hier nur Japan und Südkorea, in denen mobile Zahlungssysteme seit längerem auch für
Mobiltelefone verfügbar sind. Diese Systeme entstanden dort größtenteils aus elektronischen
Ticketsystemen, deren Funktionalität sukzessive ausgebaut und um eine allgemeine PrepaidFunktion erweitert wurde.
In Amerika wagte Google im Jahr 2011 einen ersten Vorstoß und bietet seither seine mobile
Geldbörse Google Wallet landesweit an. Der Erfolg von Google Wallet hält sich bisher jedoch in
Grenzen. Hauptproblem dürfte der relativ kleine potentielle Kundenkreis sein, der durch die
Beschränkung auf einen einzigen Mobilfunkbetreiber, eine Hand voll unterstützter Smartphones
und eine spezielle Kreditkarte von einer speziellen Bank beschränkt wird. Zudem hatte Google in
der Vergangenheit mit diversen Sicherheitsproblemen zu kämpfen, die das Vertrauen in den
gebotenen Service in Mitleidenschaft gezogen haben [3].
Die aktuellen Probleme, mit denen Google Wallet zu kämpfen hat, spiegeln sehr gut die
allgemeine Problematik wider, die sich für Entwickler und Betreiber NFC-basierter
Zahlungssysteme ergibt. So ist in die Entwicklung und vor allem auch in den Betrieb eines mobilen
NFC-basierten Zahlungssystems in der Regel ein komplexes Ökosystem unterschiedlicher
Unternehmen involviert. Dieses Ökosystem besteht unter anderem aus Smartphone-Herstellern,
Mobilfunkbetreibern, Kreditkartenunternehmen, Banken, Betreibern von Backend-Systemen,
Herstellern von Secure Elements, Trusted Service Managern, u.v.m. Für die Entwicklung und den
Betrieb eines kommerziellen NFC-basierten Zahlungssystems muss ein geeignetes
Geschäftsmodell entwickelt werden, von dem alle involvierten Stakeholder profitieren können.
Diese Problematik wird unter anderem in [7] ausführlich behandelt.
Mobile NFC-basierte Zahlungssysteme müssen sich jedoch auch technischen Herausforderungen
stellen. Die vor kurzem entdeckten – und mittlerweile behobenen – Schwachstellen in Google
Wallet [8][9] zeigen, dass die sichere und fehlerfreie Implementierung NFC-basierter
Zahlungssysteme eine nichttriviale Aufgabe ist. Vor allem durch die Verwendung von Smartphones
als elektronische Geldbörse ergeben sich im Vergleich zu chipkartenbasierten Ansätzen zahlreiche
neue Angriffsvektoren, die geeignet berücksichtigt werden müssen. Aufgrund der zahlreichen
Herausforderungen, denen sich NFC-basierte Zahlungssysteme aktuell noch stellen müssen, wird
Studie_NFC_Payments_v1.1.docx
Seite: 25 von 27
ein endgültiger Durchbruch für derartige Bezahlformen von einigen Experten erst in ca. vier bis fünf
Jahren erwartet 117.
Nichtsdestotrotz wurden in den vergangenen Monaten zahlreiche neue NFC-basierte
Zahlungssysteme vorgestellt bzw. angekündigt. Die verfügbaren Informationen zu diesen
Systemen sind jedoch meist beschränkt, sodass sich eine eingehende sicherheitstechnische
Analyse oft schwierig gestaltet. Interessant ist jedoch die Tatsache, dass ein Großteil der neu
vorgestellten mobilen Zahlungssysteme nach wie vor auf die NFC-Technologie baut. Hier bleibt
abzuwarten, ob die hohen Erwartungen, die derzeit in diese Technologie gesetzt werden, erfüllt
werden können.
Tatsächlich werden zunehmend auch kritische Stimmen zur Verwendung der NFC-Technologie im
Rahmen mobiler Bezahlsysteme laut. So beklagt beispielsweise Shashi Verma, Director of
Customer Experience des Londoner Transportunternehmens Transport for London, dass sich
NFC-Technologie auf Mobiltelefonen in Verbindung mit SIM-Karten als Secure Element nur
bedingt für mobile Ticket-Lösungen eignet, da sich durch die Miteinbeziehung der SIM-Karte zu
lange Transaktionszeiten ergeben. Für Zahlungsvorgänge an gewöhnlichen POS fällt dies freilich
kaum ins Gewicht 118.
Ein weiterer kritischer Artikel zu NFC-basierten Zahlungssystemen 119 wirft die Frage auf, ob NFC
heutzutage überhaupt noch eine zeitgemäße Technologie zur Abwicklung von Bezahlvorgängen
ist. Tatsächlich existiert bereits eine Reihe von Zahlungssystemen, die relevante Zahlungsdaten in
der Cloud speichern, und daher keine Verwendung eines sicheren lokalen Speichers (Secure
Element) bei der Benutzerin bzw. dem Benutzer vorsehen. Der Autor des Artikels verweist auf die
Tatsache, dass NFC zu einer Zeit erfunden und eingeführt wurde, als mobile Geräte noch nicht in
der Lage waren, jederzeit auf Cloud-basierte Dienste zuzugreifen, die heutigen technischen
Möglichkeiten die Verwendung von NFC-basierten Methoden jedoch bereits obsolet machen.
Tatsächlich existieren mit Square’s Card Case 120, PayPal 121, Dwolla 122, Modo Payments 123,
Paydiant 124, oder DigiMo 125 bereits eine Reihe mobiler Bezahldienste, die völlig ohne NFCTechnologie auskommen. Die Zukunft wird zeigen, welche Ansätze von Benutzerinnen und
Benutzern schlussendlich besser angenommen werden.
Eine bedeutende Rolle kommt in diesem Zusammenhang sicherlich auch Apple zu, das beim
Thema NFC-basierte Zahlungssysteme bisher sehr zurückhaltend agierte. Sollte sich Apple
entschließen, eines der nächsten iPhone-Modelle mit NFC-Technologie auszustatten und eventuell
einen eigenen NFC-basierten Bezahldienst anzubieten, würden wohl sowohl die NFC-Technologie
selbst als auch NFC-basierte Bezahlsysteme einen neuen Hype erfahren. Interessanterweise
sicherte sich Apple in letzter Zeit einige Patente für eine elektronische Geldbörsenfunktion am
iPhone 126. Es ist daher wohl zu erwarten, dass Apple in Zukunft weitere Tätigkeiten in diese
Richtung verfolgen wird. Bis dahin bleibt abzuwarten, ob es eine der bereits verfügbaren Lösungen
schafft, eine entsprechende Benutzerakzeptanz zu erreichen, um kontaktlosen Bezahlformen
schlussendlich zum endgültigen Durchbruch zu verhelfen.
117
http://www.retailwire.com/discussion/15444/gartner-mobile-payment-adoption-at-least-four-years-away
118
http://nfctimes.com/news/london-oyster-card-chief-nfc-not-ready-fast-paced-fare-payment
119
http://techcrunch.com/2012/04/06/do-we-even-need-nfc-for-mobile-payments-paypal-google-weigh-in-
video/
120
https://squareup.com/pay-with-square
121
https://www.paypal.com/at/cgi-bin/webscr?cmd=_home&country_lang.x=true
122
https://www.dwolla.com/
123
https://modopayments.com/
124
http://www.paydiant.com/
125
http://digimo.biz/
126
http://www.tech.sc/apple-iwallet-patent-nfc-payments/
Studie_NFC_Payments_v1.1.docx
Seite: 26 von 27
Referenzen
[1]
Stephen Ezell: Contactless Mobile Payments. The Information Technology &
Innovation Foundation (2009)
[2]
MasterCard: PayPass
MasterCard (2012)
[3]
Thomas Zefferer: Secure Elements am Beispiel Google Wallet. A-SIT (2012)
[4]
Anwendungen und Technik von Near Field Communication (NFC), Josef Langer
und Michael Roland, Springer-Verlag Berlin Heidelberg 2010, ISBN 978-3-64205496-9
[5]
RICHTLINIE 1999/93/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 13. Dezember 1999 über gemeinschaftliche Rahmenbedingungen für
elektronische Signaturen, Amtsblatt der Europäischen Gemeinschaften, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:013:0012:0020:DE:PDF
[6]
NFC Times: NFC and Contactless Mobile Projects. http://nfctimes.com/nfcprojects/list
[7]
Mobile Money – The future of the payments market. White Paper, Mobile Money.
BearingPoint
Management
&
Technology
Consultants.
http://www.digitalherz.at/digitaldialog/BearingPointResearch_2012_MobileMoney_T
he_future_of_the_payments_market.pdf
viaForensics:
Forensic
security
analysis
of
Google
Wallet,
security/forensics-security-analysis-googlehttps://viaforensics.com/mobilewallet.html
The Smartphone Champ: Second major security flaw found in Google
Wallet….rooted or not no one is safe, http://thesmartphonechamp.com/secondmajor-security-flaw-found-in-google-wallet-rooted-or-not-no-one-is-safe-video/
Robin Dua: Use any credit or debit card with Google Wallet,
http://googlecommerce.blogspot.co.at/2012/08/use-any-credit-or-debit-cardwith.html
[8]
[9]
[10]
Studie_NFC_Payments_v1.1.docx
Mag
Stripe
Acquirer
Implementation
Requirements.
Seite: 27 von 27